Hackers χρησιμοποιούν κώδικα από έναν κλώνο του παιχνιδιού Minesweeper της Microsoft, για να κρύψουν κακόβουλα scripts στα πλαίσια phishing επιθέσεων που στοχεύουν ευρωπαϊκούς και αμερικανικούς χρηματοπιστωτικούς οργανισμούς για να εγκαταστήσουν το SuperOps RMM.
Το CSIRT-NBU και το CERT-UA της Ουκρανίας αποδίδουν τις επιθέσεις σε έναν παράγοντα απειλής που παρακολουθείται ως «UAC-0188». Οι επιτιθέμενοι χρησιμοποιούν τον νόμιμο κώδικα του Minesweeper για να κρύψουν Python scripts που κάνουν λήψη και εγκατάσταση του SuperOps RMM. Το Superops RMM είναι ένα νόμιμο λογισμικό απομακρυσμένης διαχείρισης, που παρέχει άμεση πρόσβαση στα παραβιασμένα συστήματα.
Το CERT-UA έχει εντοπίσει τουλάχιστον πέντε πιθανές παραβιάσεις από τα ίδια αρχεία σε χρηματοπιστωτικά και ασφαλιστικά ιδρύματα σε όλη την Ευρώπη και τις Ηνωμένες Πολιτείες.
Δείτε επίσης: Κατάχρηση υπηρεσιών cloud στα πλαίσια SMS phishing επιθέσεων
Πώς λειτουργεί η επίθεση;
Η επίθεση ξεκινά με ένα email που αποστέλλεται από τη διεύθυνση support@patient-docs-mail.com. Οι hackers υποδύονται ένα ιατρικό κέντρο με θέμα “Personal Web Archive of Medical Documents“.
Ο παραλήπτης του email καλείται να πραγματοποιήσει λήψη ενός αρχείου .SCR 33 MB από έναν σύνδεσμο Dropbox. Αυτό το αρχείο περιέχει αβλαβή κώδικα από έναν κλώνο Python του παιχνιδιού Minesweeper. Ωστόσο, ενσωματωμένος βρίσκεται κακόβουλος κώδικας που κατεβάζει πρόσθετα scripts από μια απομακρυσμένη πηγή (“anotepad.com”).
Η συμπερίληψη του κώδικα Minesweeper εντός του εκτελέσιμου αρχείου χρησιμεύει ως κάλυψη του κακόβουλου κώδικα.
Επιπρόσθετα, ο κώδικας Minesweeper περιέχει μια συνάρτηση με το όνομα “create_license_ver”, η οποία έχει σκοπό να αποκωδικοποιήσει και να εκτελέσει τον κρυφό κακόβουλο κώδικα.
Δείτε επίσης: Αύξηση 341% σε εξελιγμένες phishing επιθέσεις
Η συμβολοσειρά base64 που περιέχει τον κακόβουλο κώδικα, αποκωδικοποιείται για την εμφάνιση ενός αρχείου ZIP που περιέχει ένα πρόγραμμα εγκατάστασης MSI για το SuperOps RMM, το οποίο τελικά εξάγεται και εκτελείται χρησιμοποιώντας ένα static password.
Το SuperOps RMM είναι ένα νόμιμο εργαλείο απομακρυσμένης πρόσβασης, αλλά οι hackers το χρησιμοποιούν σε αυτή την περίπτωση για να αποκτήσουν εξουσιοδοτημένη πρόσβαση στον υπολογιστή του θύματος.
Το CERT-UA σημειώνει ότι οι οργανισμοί που δεν χρησιμοποιούν το προϊόν SuperOps RMM, θα πρέπει να είναι προσεκτικοί, σε περίπτωση που το εντοπίσουν στα συστήματά τους. Θα πρέπει να ψάξουν αμέσως για ενδείξεις παραβίασης.
Ο οργανισμός μοιράστηκε επίσης πρόσθετους δείκτες παραβίασης (IoC) που σχετίζονται με αυτήν την επίθεση.
Προστασία από phishing
Οι χρήστες θα πρέπει να είναι προσεκτικοί και να είναι δύσπιστοι με μηνύματα SMS ή email που λαμβάνουν χωρίς να το περιμένουν. Πρέπει να είναι πάντα ενήμεροι για τις τελευταίες τεχνικές phishing και να μάθουν πώς να αναγνωρίζουν τα ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου ή τις απάτες μέσω μηνυμάτων. Καλό είναι να αποφεύγεται το κλικ σε συνδέσμους και συνημμένα, που φαίνονται ύποπτα.
Βοηθητική είναι και η χρήση ενός αξιόπιστου λογισμικού ασφαλείας που παρέχει προστασία από κακόβουλο λογισμικό και ιούς. Αυτό μπορεί να βοηθήσει στην ανακάλυψη και την αποφυγή των επιθέσεων phishing.
Δείτε επίσης: Latrodectus Malware Loader: Ο διάδοχος του IcedID στις phishing καμπάνιες
Έπειτα, οι χρήστες πρέπει να είναι προσεκτικοί με τις εφαρμογές που κατεβάζουν και εγκαθιστούν στις συσκευές τους. Πρέπει να κατεβάζουν εφαρμογές μόνο από αξιόπιστες πηγές και να αποφεύγουν τις εφαρμογές που φαίνονται ύποπτες ή που δεν έχουν καλές κριτικές.
Τέλος, απαραίτητη είναι η χρήση διαφορετικών κωδικών πρόσβασης για διάφορους λογαριασμούς. Μην ξεχνάτε τη διπλή πιστοποίηση όπου είναι διαθέσιμη, για ένα επιπλέον επίπεδο ασφάλειας στους λογαριασμούς τους.
Πηγή: www.bleepingcomputer.com
