Μια νέα phishing επίθεση χρησιμοποιεί ένα έγγραφο του Microsoft Word στη ρωσική γλώσσα για να διανείμει το malware Konni που κλέβει ευαίσθητες πληροφορίες από συστήματα Windows. Η καμπάνια έχει αποδοθεί σε μια hacking ομάδα που φαίνεται να έχει κάποια κοινά στοιχεία με μια άλλη ομάδα της Βόρειας Κορέας, την Kimsuky (γνωστή και ως APT43).
“Αυτή η καμπάνια βασίζεται σε ένα remote access trojan (RAT) ικανό να εξάγει πληροφορίες και να εκτελεί εντολές σε παραβιασμένες συσκευές“, δήλωσε η ερευνήτρια της Fortinet FortiGuard Labs, Cara Lin, σε μια σχετική έκθεση.
Η ομάδα κατασκοπείας στον κυβερνοχώρο στοχεύει Ρώσους χρήστες, στέλνοντας spear-phishing email με κακόβουλα έγγραφα.
Δείτε επίσης: Πόλεμος στη Γάζα: Phishing καμπάνια ξεγελά θύματα με υποτιθέμενες δωρεές
Οι πρόσφατες επιθέσεις, που τεκμηριώθηκαν από τις Knowsec και ThreatMon, αξιοποίησαν την ευπάθεια WinRAR (CVE-2023-38831) καθώς και obfuscated Visual Basic scripts για την εγκατάσταση του Konni RAT και ενός Windows Batch script ικανού να συλλέγει δεδομένα από τα μολυσμένα μηχανήματα.
“Οι πρωταρχικοί στόχοι του Konni περιλαμβάνουν την εξαγωγή δεδομένων και τη διεξαγωγή κατασκοπευτικών δραστηριοτήτων“, είπε η ThreatMon. “Για να επιτύχει αυτούς τους στόχους, η ομάδα χρησιμοποιεί μια ευρεία γκάμα malware και εργαλείων, προσαρμόζοντας συχνά τις τακτικές της για να αποφύγει τον εντοπισμό“.
Η πιο πρόσφατη επίθεση παρατηρήθηκε από τη Fortinet. Στα πλαίσια αυτής της επίθεσης, οι hackers στέλνουν emails με ένα έγγραφο Word με μακροεντολές. Όταν ενεργοποιηθούν οι μακροεντολές, εμφανίζεται ένα άρθρο στα ρωσικά που υποτίθεται ότι αφορά τις “Δυτικές αξιολογήσεις της προόδου της Ειδικής Στρατιωτικής Επιχείρησης“.
Η μακροεντολή Visual Basic for Application (VBA) στη συνέχεια προχωρά στην εκκίνηση ενός Batch script που εκτελεί ελέγχους συστήματος, παράκαμψη ελέγχου λογαριασμού χρήστη (UAC) και τελικά ανοίγει το δρόμο για την ανάπτυξη ενός αρχείου DLL που έχει τη δυνατότητα να κλέβει δεδομένα.
Δείτε επίσης: Οι hackers TA402 χρησιμοποιούν το νέο IronWind downloader σε phishing επιθέσεις
“Το payload ενσωματώνει μια παράκαμψη UAC και κρυπτογραφημένη επικοινωνία με έναν διακομιστή C2, επιτρέποντας στον παράγοντα απειλής να εκτελεί προνομιακές εντολές“, είπε η Lin.
Αξίζει να σημειωθεί ότι οι χειριστές του Konni δεν είναι η μόνη ομάδα από τη Βόρεια Κορέα που στοχεύει τη Ρωσία. Σύμφωνα με τις Kaspersky, Microsoft και SentinelOne, η ομάδα ScarCruft (γνωστή και ως APT37) έχει επίσης στοχεύσει εμπορικές εταιρείες και εταιρείες μηχανικής πυραύλων που βρίσκονται στη χώρα.
Επίσης, η γνωστή ομάδα Lazarus είναι πολύ δραστήρια στο έδαφος της Ρωσικής Ομοσπονδίας.
Phishing επιθέσεις: Πώς να προστατευτείτε;
Ένας αποτελεσματικός τρόπος για να προστατευτείτε από καμπάνιες phishing είναι να είστε προσεκτικοί με τα email που λαμβάνετε. Πριν ανοίξετε ή κάνετε κλικ σε οποιοδήποτε σύνδεσμο, ελέγξτε προσεκτικά τον αποστολέα και το περιεχόμενο του μηνύματος. Επίσης, αποφύγετε να απαντήσετε σε αιτήματα για προσωπικές πληροφορίες ή να αποκαλύψετε ευαίσθητες πληροφορίες μέσω email.
Ένα άλλο αποτελεσματικό μέτρο είναι να χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης για τους λογαριασμούς σας. Επιλέξτε έναν μοναδικό συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και ειδικών χαρακτήρων για τους κωδικούς σας. Επίσης, αλλάξτε τακτικά τους κωδικούς και μην χρησιμοποιείτε το ίδιο password για πολλούς λογαριασμούς.
Δείτε επίσης: Αύξηση των phishing emails κατά 1265%: Ο ρόλος του ChatGPT
Επιπλέον, είναι σημαντικό να εγκαταστήσετε ένα αξιόπιστο λογισμικό antivirus στη συσκευή σας. Αυτό το λογισμικό μπορεί να εντοπίσει και να μπλοκάρει κακόβουλα λογισμικά που προσπαθούν να εισχωρήσουν στη συσκευή. Αντίστοιχα, υπάρχουν και φίλτρα email που εντοπίζουν ύποπτες επικοινωνίες και προειδοποιούν για ύποπτους συνδέσμους ή αρχεία που μπορεί να περιέχουν κακόβουλο λογισμικό.
Τέλος, να είστε προσεκτικοί κατά την περιήγησή σας στο διαδίκτυο. Αποφεύγετε να κάνετε κλικ σε ύποπτους συνδέσμους ή να κατεβάζετε αρχεία από αναξιόπιστες πηγές. Επίσης, ενημερώστε το λειτουργικό σύστημα και το λογισμικό σας με τις τελευταίες ενημερώσεις ασφαλείας για να αποτρέψετε ευπάθειες που μπορεί να εκμεταλλεύονται οι κακόβουλοι χρήστες.
Πηγή: thehackernews.com
