Οι χάκερ που βρίσκονται πίσω από τους information stealers RedLine και Vidar έχουν παρατηρηθεί να επικεντρώνονται σε ransomware μέσω καμπανιών phishing που εξαπλώνουν αρχικά φορτία που έχουν υπογραφεί με πιστοποιητικά επέκτασης επαλήθευσης (EV) για κωδικοποίηση.
Στο περιστατικό που ερευνήθηκε από την εταιρεία κυβερνοασφάλειας, ένας ανώνυμο θύμα φέρεται να έλαβε αρχικά ένα κομμάτι infostealer malware με πιστοποιητικά EV υπογραφής κώδικα, ακολουθούμενο από ransomware που χρησιμοποίησε την ίδια τεχνική παράδοσης.
Στο παρελθόν, οι μολύνσεις από το QakBot εκμεταλλεύτηκαν δείγματα που είχαν υπογραφεί με έγκυρα πιστοποιητικά κώδικα για να αποφύγουν τις προστασίες ασφαλείας.
Οι επιθέσεις ξεκινούν με ανεπιθύμητα email phishing, τα οποία χρησιμοποιούν κοινά δόλωματα για να εξαπατήσουν τα θύματα και να τους κάνουν να εκτελέσουν κακόβουλα συνημμένα αρχεία που παρουσιάζονται ως PDF ή JPG εικόνες, αλλά στην πραγματικότητα είναι εκτελέσιμα αρχεία που εκτελούν την διαρροή των δεδομένων με την εκτέλεσή τους.
Ενώ η καμπάνια που στόχευε το θύμα παρέδωσε κακόβουλο λογισμικό κλοπής τον Ιούλιο, ένα ωφέλιμο φορτίο ransomware έφτασε στις αρχές Αυγούστου αφού έλαβε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που περιείχε ένα ψευδές συνημμένο email καταγγελίας του TripAdvisor (“TripAdvisor-Complaint.pdf.htm”), ενεργοποιώντας μια σειρά βημάτων που κορυφώθηκε με την ανάπτυξη ransomware.
Η ανάπτυξη έρχεται καθώς το IBM X-Force ανακάλυψε νέες εκστρατείες ηλεκτρονικής απάτης που εξαπλώνουν μια βελτιωμένη έκδοση ενός κακόβουλου loader με το όνομα DBatLoader, ο οποίος χρησιμοποιήθηκε ως μέσο διανομής των FormBook και Remcos RAR νωρίτερα φέτος.
Οι νέες δυνατότητες του DBatLoader διευκολύνουν την παράκαμψη του UAC, τη μόνιμη παραμονή και την ενέργεια process injection, υποδηλώνοντας ότι διατηρείται ενεργό για να εγκαθιδρύσει κακόβουλα προγράμματα που μπορούν να συλλέξουν ευαίσθητες πληροφορίες και να επιτρέψουν τον απομακρυσμένο έλεγχο των συστημάτων.
Οι πρόσφατες επιθέσεις που ανιχνεύθηκαν από τον Ιούνιο και μετά, σχεδιάστηκαν επίσης για την παράδοση κακόβουλου λογισμικού όπως το Agent Tesla και το Warzone RAT. Η πλειονότητα των ηλεκτρονικών μηνυμάτων έχει στραφεί κατά αγγλόφωνων, αν και έχουν εντοπιστεί και μηνύματα στα ισπανικά και τα τουρκικά.
Πηγή πληροφοριών: thehackernews.com
