Κινεζικές επιχειρήσεις είναι στόχος χάκερ οι οποίοι χρησιμοποιούν νέες παραλλαγές malware, σύμφωνα με τη Proofpoint. Ο κυβερνοασφάλειας αναλυτής αναφέρει ότι έχει εντοπίσει περίπου 30 τέτοιες επιθέσεις στην Κίνα φέτος.
Οι εκστρατείες περιλαμβάνουν κινεζικές εταιρείες που πλαστογραφούνται από κακόβουλους δράστες, οι οποίοι χρησιμοποιούν απάτες μέσω email ή social engineering για να παρασύρουν απρόσεκτους υπαλλήλους να εγκαταστήσουν κακόβουλα προγράμματα λογισμικού.
Ανάμεσα σε αυτά, υπάρχει ένα νέο εργαλείο στην αποθήκη των κυβερνοεγκληματιών, το οποίο η Proofpoint εντόπισε για πρώτη φορά τον Μάρτιο και ονόμασε ValleyRAT. Τα τρία τελευταία γράμματα σημαίνουν “remote access trojan”, ένα ευρέως διαδεδομένο εργαλείο που χρησιμοποιείται από κακόβουλους χάκερ για να αποκτήσουν απομακρυσμένη πρόσβαση σε στόχους υπολογιστές.
«Οι καμπάνιες που διανέμουν αυτό το κακόβουλο λογισμικό διεξήχθησαν στα κινέζικα και, ακολουθώντας την τάση άλλων κινεζικών καμπανιών κακόβουλου λογισμικού, η πλειοψηφία χρησιμοποίησε θέματα τιμολογίων που σχετίζονται με διάφορες κινεζικές επιχειρήσεις», είπε, προσθέτοντας ότι είχε παρακολουθήσει μισή ντουζίνα καμπάνιες χρησιμοποιώντας το ValleyRAT.
Μια μάστιγα από RATs
Άλλα malware kits που χρησιμοποιήθηκαν στις εκστρατείες με επικοινωνία στα κινεζικά περιλάμβαναν μια νέα παραλλαγή του Gh0stRAT, την οποία η Proofpoint ονομάζει Sainbox.
«Σχεδόν όλες οι καμπάνιες Sainbox που παρατηρήθηκαν χρησιμοποίησαν θέλγητρα με θέμα τιμολόγια, τα οποία παραπλάνησαν κινεζικές εταιρείες γραφείων και τιμολόγησης», δήλωσε η Proofpoint. “Τα μηνύματα ηλεκτρονικού ταχυδρομείου στάλθηκαν συνήθως από το Outlook ή άλλες διευθύνσεις freemail και περιείχαν διευθύνσεις URL ή συνημμένα στο Excel που περιείχαν διευθύνσεις URL, που συνδέονταν με ένα συμπιεσμένο εκτελέσιμο [αρχείο] που εγκατέστησε το Sainbox.”
Σύμφωνα με την Proofpoint, παρατηρήθηκε ότι οι περισσότερες εκστρατείες χρησιμοποιούν το Sainbox από τον Δεκέμβριο έως τον Μάιο.
Άλλο κακόβουλο λογισμικό που χρησιμοποιήθηκε για να στοχεύσει ομιλητές κινέζικης γλώσσας περιλάμβανε το Purple Fox, το οποίο σημείωσε η Proofpoint ότι εντοπίστηκε σε τουλάχιστον τρεις εκστρατείες και χρησιμοποιήθηκε επίσης εναντίον ιαπωνικών στόχων.
Ποιοι είναι αυτοί οι χάκερ που πραγματοποιούν τις εκστρατείες;
Πιστεύεται ότι οι εκστρατείες είναι αποτέλεσμα πολλαπλών ομάδων hacking, οι οποίες ενδέχεται να μοιράζονται εργαλεία και εμπειρία.
Η Proofpoint δεν έκανε εικασίες για τα κίνητρα πίσω από τις επιθέσεις, δεν διευκρίνισε από πού προέρχονται οι υπεύθυνες ομάδες hacking, αλλά φαίνεται να πιστεύει ότι τα επιδιωκόμενα θύματα βασίζονται στην ηπειρωτική Κίνα.
Πηγή πληροφοριών: cybernews.com
