Ένας εγκληματίας του κυβερνοχώρου χρησιμοποιεί ψεύτικες αναρτήσεις στο LinkedIn και άμεσα μηνύματα σχετικά με μια θέση Facebook Ads specialist στην εταιρεία Corsair. Στόχος του είναι να παρασύρει τους ανθρώπους να κατεβάσουν info-stealing malware, όπως το DarkGate και το RedLine.
Η εταιρεία κυβερνοασφάλειας WithSecure εντόπισε και παρακολούθησε τη δραστηριότητα της ομάδας και παρατήρησε ότι συνδέεται με Βιετναμέζους hackers που είναι υπεύθυνoi για τις καμπάνιες “Ducktail“, που εντοπίστηκαν για πρώτη φορά πέρυσι.
Αυτές οι καμπάνιες στοχεύουν στην κλοπή πολύτιμων Facebook business accounts που μπορούν να χρησιμοποιηθούν για malvertising ή να πωληθούν σε άλλους εγκληματίες του κυβερνοχώρου.
Δείτε επίσης: ExelaStealer: Το νέο, οικονομικό εργαλείο που χρησιμοποιούν οι χάκερ
Το DarkGate malware εντοπίστηκε για πρώτη φορά το 2017, αλλά άρχισε να χρησιμοποιείται σε περισσότερες επιθέσεις τον Ιούνιο του 2023.
Πρόσφατα παραδείγματα χρήσης του DarkGate περιλαμβάνουν επιθέσεις phishing μέσω του Microsoft Teams για τη διανομή του malware. Επίσης, έγινε διανομή μέσω παραβιασμένων Skype λογαριασμών.
Θέση εργασίας στην Corsair
Οι Βιετναμέζοι hackers στοχεύουν κυρίως χρήστες στις ΗΠΑ, το Ηνωμένο Βασίλειο και την Ινδία. Οι στόχοι κατέχουν θέσεις διαχείρισης μέσων κοινωνικής δικτύωσης και είναι πιθανό να έχουν πρόσβαση σε Facebook business accounts. Ο επιτιθέμενος προσπαθεί να προσελκύσει τα θύματα μέσω LinkedIn, προσφέροντας μια υποτιθέμενη θέση εργασίας στην Corsair.
Δείτε επίσης: Αυξάνεται η χρήση QR codes στις phishing επιθέσεις
Οι στόχοι εξαπατώνται ώστε να κάνουν λήψη κακόβουλων αρχείων από μια διεύθυνση URL (“g2[.]by/corsair-JD”), που ανακατευθύνει στο Google Drive ή στο Dropbox για να αποθέσουν ένα αρχείο ZIP (“Salary and new products.8.4.zip”) με ένα PDF ή έγγραφο DOCX και ένα αρχείο TXT με τα ακόλουθα ονόματα:
- Job Description of Corsair.docx
- Salary and new products.txt
- PDF Salary and Products.pdf
Οι ερευνητές της WithSecure ανέλυσαν τα metadata για τα παραπάνω αρχεία και βρήκαν στοιχεία για τη διανομή του RedLine stealer.
Το ληφθέν αρχείο περιέχει ένα VBS script, πιθανώς ενσωματωμένο στο αρχείο DOCX, το οποίο αντιγράφει και μετονομάζει το “curl.exe” σε μια νέα θέση και το αξιοποιεί για τη λήψη του “autoit3.ex” και ενός compiled Autoit3 script.
Το εκτελέσιμο εκκινεί το script και το τελευταίο κάνει de-obfuscation και κατασκευάζει το DarkGate χρησιμοποιώντας συμβολοσειρές που υπάρχουν στο script.
Δείτε επίσης: Ψεύτικα Google Ads προωθούν το KeePass και διανέμουν malware
Μόλις τριάντα δευτερόλεπτα μετά την εγκατάσταση, το κακόβουλο λογισμικό επιχειρεί να απεγκαταστήσει προϊόντα ασφαλείας που μπορεί να υπάρχουν στο παραβιασμένο σύστημα.
Η WithSecure κυκλοφόρησε μια λίστα indicators of compromise (IoCs) που θα μπορούσαν να βοηθήσουν τους οργανισμούς να αμυνθούν. Οι λεπτομέρειες περιλαμβάνουν διευθύνσεις IP, domains που χρησιμοποιούνται, διευθύνσεις URL, file metadata και ονόματα αρχείων.
Προστασία από κακόβουλο λογισμικό
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν μια σειρά από κακόβουλα εργαλεία και malware για να θέσουν σε κίνδυνο τα συστήματα των θυμάτων.
Υπάρχουν, όμως, κάποια μέτρα που μπορείτε να λάβετε για να μειώσετε τις πιθανότητες μόλυνσης:
- Τακτική ενημέρωση των λογισμικών και των συστημάτων. Μέσα από συχνές ενημερώσεις, αντιμετωπίζονται πιθανά κενά ασφαλείας.
- Χρήση αξιόπιστων λογισμικών προστασίας από ιούς
- Χρήση firewall
- Δημιουργία αντιγράφων ασφαλείας
- Αποφυγή ανοίγματος ύποπτων emails και ύποπτων συνημμένων και συνδέσμων
Είναι σημαντικό να σημειωθεί ότι, παρόλο που αυτές οι πρακτικές μπορούν να ενισχύσουν σημαντικά την ασφάλεια στο διαδίκτυο, δεν πρέπει ποτέ να θεωρηθούν εγγύηση απόλυτης προστασίας. Το Malware αλλάζει και εξελίσσεται συνέχεια, έτσι ώστε να μπορεί να αντιμετωπίζει τις νέες μεθόδους ασφάλειας. Αυτό που είναι καίριο εδώ, είναι η συνεχής προσαρμογή και αναβάθμιση των μηχανισμών ασφαλείας καθώς και η εκπαίδευση των χρηστών.
Πηγή: www.bleepingcomputer.com
