Spywares που έχουν ονομαστεί Anomalous από τους ερευνητές ασφαλείας, φαίνεται να στοχεύουν βιομηχανικές εταιρείες, με σκοπό να κλέψουν διαπιστευτήρια. Οι ερευνητές έχουν ανακαλύψει πολλές εκστρατείες spyware που στοχεύουν βιομηχανικές επιχειρήσεις, με στόχο την κλοπή διαπιστευτηρίων email για τη διεξαγωγή οικονομικής απάτης ή τη μεταπώλησή τους σε άλλους κακόβουλους παράγοντες.
Δείτε επίσης: Η ελληνική κυβέρνηση κατασκοπεύει τους πολίτες μέσω του Predator spyware;
Οι κακόβουλοι χρήστες, χρησιμοποιούν εργαλεία spyware και αναπτύσσουν παραλλαγές για πολύ περιορισμένο διάστημα προκειμένου να αποφύγουν τον εντοπισμό.
Παραδείγματα κακόβουλου λογισμικού που χρησιμοποιούνται σε τέτοιες επιθέσεις περιλαμβάνουν το AgentTesla/Origin Logger, το HawkEye, το Noon/Formbook, το Masslogger, το Snake Keylogger, το Azorult και το Lokibot.
Η Kaspersky αποκαλεί αυτές τις επιθέσεις spyware «Anomalous» λόγω της πολύ βραχύβιας φύσης τους σε σύγκριση με αυτό που θεωρείται τυπικό στον τομέα τους.
Πιο συγκεκριμένα, η διάρκεια ζωής των επιθέσεων περιορίζεται σε περίπου 25 ημέρες, ενώ οι περισσότερες εκστρατείες spyware διαρκούν αρκετούς μήνες ή και χρόνια.
Ο αριθμός των συστημάτων που επιτίθενται σε αυτές τις καμπάνιες είναι πάντα κάτω από εκατό, τα μισά από τα οποία είναι μηχανήματα ICS (ολοκληρωμένα συστήματα υπολογιστών) που αναπτύσσονται σε βιομηχανικά περιβάλλοντα.
Ένα άλλο ασυνήθιστο στοιχείο είναι η χρήση του πρωτοκόλλου επικοινωνίας που βασίζεται σε SMTP για την εξαγωγή δεδομένων στον διακομιστή C2 που ελέγχεται από τους κακόβουλους χρήστες.
Δείτε ακόμα: PhoneSpy: Android spyware εκστρατεία στοχεύει Κορεάτες χρήστες
Σε αντίθεση με το HTTPS, το οποίο χρησιμοποιείται στις περισσότερες τυπικές καμπάνιες spyware για επικοινωνία C2, το SMTP είναι ένα μονόδρομο κανάλι που εξυπηρετεί αποκλειστικά την κλοπή δεδομένων.
Το SMTP δεν είναι μια κοινή επιλογή για τους κακόβουλους παράγοντες, καθώς δεν μπορεί να ανακτήσει δυαδικά ή άλλα αρχεία που δεν είναι κείμενο, αλλά ευδοκιμεί χάρη στην απλότητα και την ικανότητά του να συνδυάζεται με την κανονική κίνηση δικτύου.
Οι κακόβουλοι χρήστες, χρησιμοποιούν κλεμμένα διαπιστευτήρια υπαλλήλων που αποκτούν μέσω spear-phishing, για να διεισδύσουν βαθύτερα στο δίκτυο της εταιρείας και να κινηθούν πλευρικά.
Επιπλέον, χρησιμοποιούν εταιρικά γραμματοκιβώτια που έχουν παραβιαστεί σε προηγούμενες επιθέσεις ως διακομιστές C2, καθιστώντας τον εντοπισμό και την επισήμανση κακόβουλης εσωτερικής αλληλογραφίας πολύ δύσκολη.
Όσον αφορά τους αριθμούς, οι αναλυτές εντόπισαν τουλάχιστον 2.000 εταιρικούς λογαριασμούς email που καταχράστηκαν ως προσωρινοί διακομιστές C2 και άλλους 7.000 λογαριασμούς email που καταχράστηκαν με άλλους τρόπους.
Δείτε επίσης: Το ransomware Diavol εξαπλώνεται μέσω email και κλέβει χρήματα
Πολλά από τα διαπιστευτήρια λογαριασμού email RDP, SMTP, SSH, cPanel και VPN που έχουν κλαπεί σε αυτές τις καμπάνιες, διατίθενται σε αγορές του dark web και τελικά πωλούνται σε άλλους κακόβουλους χρήστες.
Σύμφωνα με τη στατιστική ανάλυση της Kaspersky, περίπου το 3,9% όλων των λογαριασμών RDP που πωλούνται σε αυτές τις παράνομες αγορές ανήκουν σε βιομηχανικές εταιρείες.
Οι λογαριασμοί RDP (πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας) είναι πολύτιμοι για τους εγκληματίες του κυβερνοχώρου, επειδή τους δίνουν τη δυνατότητα να έχουν απομακρυσμένη πρόσβαση στα παραβιασμένα μηχανήματα και να αλληλεπιδρούν απευθείας με μια συσκευή χωρίς να εντοπίζονται.
