Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια νέα καμπάνια malware που εκμεταλλεύεται ψεύτικες σελίδες του Google Sites και HTML smuggling, για τη διανομή ενός malware με το όνομα AZORult, με σκοπό τη διευκόλυνση της κλοπής πληροφοριών.
Δείτε επίσης: Οικογένειες malware προσαρμόζονται στην τεχνική COM Hijacking
Σύμφωνα με έκθεση που δημοσιεύτηκε την προηγούμενη εβδομάδα, ο ερευνητής του Netskope Threat Labs, Jan Michael Alcantara, αναφέρει ότι χρησιμοποιεί μια τεχνική HTML smuggling, όπου το κακόβουλο φορτίο ενσωματώνεται σε ένα ξεχωριστό αρχείο JSON που φιλοξενείται σε εξωτερική ιστοσελίδα.
Η καμπάνια phishing δεν έχει αποδοθεί σε συγκεκριμένο απειλητικό φορέα ή ομάδα. Η εταιρεία κυβερνοασφάλειας την περιέγραψε ως ευρείας εμβέλειας, με σκοπό τη συλλογή ευαίσθητων δεδομένων για την πώλησή τους σε κακόβουλα φόρουμ.
Το AZORult malware που ονομάζεται επίσης PuffStealer και Ruzalto, είναι ένας κλέφτης πληροφοριών που εντοπίστηκε για πρώτη φορά γύρω στο 2016. Συνήθως διανέμεται μέσω καμπανιών ηλεκτρονικού phishing και κακόβουλων ανεπιθύμητων μηνυμάτων (malspam), προγραμμάτων εγκατάστασης πειρατικού λογισμικού ή trojanized πολυμέσων και κακόβουλης διαφήμισης.
Μετά την εγκατάστασή του, το πρόγραμμα είναι ικανό να συλλέγει διαπιστευτήρια, cookies και ιστορικό από προγράμματα περιήγησης στο διαδίκτυο, στιγμιότυπα οθόνης, έγγραφα που ταιριάζουν με μια λίστα συγκεκριμένων επεκτάσεων (.TXT, .DOC, .XLS, .DOCX, .XLSX, .AXX και .KDBX), και δεδομένα από 137 πορτοφόλια κρυπτονομισμάτων. Τα αρχεία AXX είναι κρυπτογραφημένα αρχεία που δημιουργήθηκαν από το AxCrypt, ενώ το KDBX αναφέρεται σε μια βάση δεδομένων κωδικών πρόσβασης που δημιουργήθηκε από το διαχειριστή κωδικών πρόσβασης KeePass.
Η πιο πρόσφατη δραστηριότητα επίθεσης εμπλέκει τον απειλητικό παράγοντα που δημιουργεί ψεύτικες σελίδες Google Docs σε Google Sites που κατόπιν χρησιμοποιούν HTML smuggling για την παράδοση του φορτίου.
Δείτε ακόμα: Mobile malware: Ένας μεγάλος κίνδυνος για τις επιχειρήσεις
Το HTML smuggling είναι μια ύπουλη τεχνική, στην οποία τα νόμιμα χαρακτηριστικά του HTML5 και του JavaScript καταχρώνται για να συναρμολογήσουν και να εκκινήσουν το κακόβουλο λογισμικό, “κρύβοντας” ένα κωδικοποιημένο κακόβουλο script.
Έτσι, όταν ένας επισκέπτης πέφτει θύμα ανοίγοντας τη ψεύτικη σελίδα από ένα email phishing, ο περιηγητής αποκωδικοποιεί το σενάριο και εξάγει το φορτίο στη συσκευή φιλοξενίας, παρακάμπτοντας αποτελεσματικά τυπικούς ελέγχους ασφαλείας όπως οι πύλες email που ελέγχουν μόνο για ύποπτα συνημμένα αρχεία.
Η καμπάνια AZORult malware πηγαίνει ένα βήμα παραπέρα εφαρμόζοντας ένα φράγμα CAPTCHA, μια προσέγγιση που όχι μόνο δίνει μια εντύπωση νομιμότητας, αλλά λειτουργεί επίσης ως επιπλέον επίπεδο προστασίας ενάντια στους σαρωτές URL.
Το αρχείο που κατεβάζει είναι ένα αρχείο συντόμευσης των Windows (.LNK) που παρουσιάζεται ως απόσπασμα τραπεζικής κατάστασης PDF, το οποίο ξεκινά μια σειρά ενεργειών για την εκτέλεση μιας σειράς ενδιάμεσων scripts PowerShell από έναν ήδη παραβιασμένο τομέα.
Ένα από τα σενάρια PowerShell (“agent3.ps1”) του AZORult malware, σχεδιάστηκε για να ανακτήσει το φορτωτή AZORult (“service.exe”), ο οποίος κάνει λήψη και εκτέλεση ενός άλλου σεναρίου PowerShell (“sd2.ps1”) που περιέχει το κακόβουλο πρόγραμμα κλοπής.
Δείτε επίσης: Το Ande Loader malware στοχεύει τον κατασκευαστικό τομέα
Πώς μπορεί κάποιος να προστατευτεί από τις επιθέσεις phishing;
Η προστασία από τις επιθέσεις phishing απαιτεί ευαισθητοποίηση και προσοχή. Αρχικά, είναι σημαντικό να ενημερώνετε τακτικά το λογισμικό ασφαλείας του υπολογιστή σας, όπως το πρόγραμμα antivirus και το λογισμικό προστασίας από malware. Δεύτερον, πρέπει να είστε προσεκτικοί με τα μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνετε. Μην ανοίγετε συνημμένα ή κάνετε κλικ σε συνδέσμους από άγνωστους αποστολείς. Επίσης, ελέγχετε πάντα τη διεύθυνση email του αποστολέα για να βεβαιωθείτε ότι είναι νόμιμη. Τρίτον, χρησιμοποιήστε δυνατούς κωδικούς πρόσβασης και αλλάζετέ τους τακτικά. Τέλος, είναι σημαντικό να είστε ενημερωμένοι για τις τελευταίες τεχνικές phishing και να εκπαιδεύσετε τον εαυτό σας για να αναγνωρίζετε τα σημάδια μιας επίθεσης phishing. Η γνώση είναι η καλύτερη άμυνα.
Πηγή: thehackernews
