Οι ερευνητές της Cloudflare ανακάλυψαν μία εκστρατεία phishing που διεξήχθη από έναν συνδεδεμένο με τη Ρωσία παράγοντα απειλών γνωστό ως FlyingYeti, με στόχο να διαδώσει το malware COOKBOX στην Ουκρανία. Οι ειδικοί δημοσίευσαν μια έκθεση για να περιγράψουν σε πραγματικό χρόνο, την προσπάθεια να διακοπεί και να καθυστερήσει αυτή η δραστηριότητα απειλής.
Δείτε επίσης: Γιατί τα εισερχόμενά σας εξακολουθούν να αποτυγχάνουν στον αποτελεσματικό αποκλεισμό του malware;
Στην αρχή της εισβολής της Ρωσίας στην Ουκρανία στις 24 Φεβρουαρίου 2022, η Ουκρανία εφάρμοσε ένα μορατόριουμ στις εξώσεις και τον τερματισμό των υπηρεσιών κοινής ωφέλειας για απλήρωτο χρέος. Το μορατόριουμ έληξε τον Ιανουάριο του 2024, οδηγώντας σε σημαντικά χρέη και αυξημένο οικονομικό άγχος για τους Ουκρανούς πολίτες. Η εκστρατεία FlyingYeti εκμεταλλεύτηκε αυτό το άγχος χρησιμοποιώντας θέλγητρα με θέμα το χρέος για να ξεγελάσει στόχους ώστε να ανοίξουν κακόβουλους συνδέσμους που είναι ενσωματωμένοι στα μηνύματα. Με το άνοιγμα των αρχείων, το malware COOKBOX μολύνει το σύστημα στόχο, επιτρέποντας στην FlyingYeti να αναπτύξει επιπλέον ωφέλιμα φορτία και να αποκτήσει τον έλεγχο του συστήματος του θύματος.
Οι κακόβουλοι παράγοντες εκμεταλλεύτηκαν την ευπάθεια του WinRAR CVE-2023-38831 για να μολύνουν στόχους με κακόβουλο λογισμικό.
Η Cloudflare δηλώνει ότι οι τακτικές, οι τεχνικές και οι διαδικασίες (TTP) της FlyingYeti είναι παρόμοιες με αυτές που περιγράφονται από το Ukraine CERT κατά την ανάλυση του UAC-0149,
που στόχευσε αμυντικές οντότητες της Ουκρανίας με malware COOKBOX τουλάχιστον από το φθινόπωρο του 2023.
Δείτε ακόμα: Microsoft Office: Πειρατικές εκδόσεις διανέμουν malware
Οι κακόβουλοι παράγοντες στόχευαν χρήστες με μια πλαστογραφημένη έκδοση του ιστότοπου κοινοτικής κατοικίας του Κιέβου Komunalka, που φιλοξενείται σε μια ελεγχόμενη από τους hackers σελίδα GitHub (hxxps[:]//komunalka[.]github[.] io). Η Komunalka είναι ένας επεξεργαστής πληρωμών για επιχειρήσεις κοινής ωφέλειας και άλλες υπηρεσίες στην περιοχή του Κιέβου.
Η FlyingYeti πιθανότατα κατεύθυνε στόχους σε αυτήν τη σελίδα μέσω email ηλεκτρονικού phishing ή κρυπτογραφημένων μηνυμάτων Signal για να διαδώσουν το malware COOKBOX. Στον πλαστογραφημένο ιστότοπο, ένα μεγάλο πράσινο κουμπί παρότρυνε τους χρήστες να κατεβάσουν ένα έγγραφο με το όνομα “Рахунок.docx” (“Invoice.docx”), το οποίο αντ’ αυτού κατέβασε ένα κακόβουλο αρχείο με τίτλο “Заборгованість по ЖКП.rar“.
Μόλις ανοίξει το αρχείο RAR, η εκμετάλλευση CVE-2023-38831 ενεργοποιεί την εκτέλεση του malware COOKBOX.
Το αρχείο RAR περιέχει πολλά αρχεία, συμπεριλαμβανομένου ενός με τον χαρακτήρα Unicode “U+201F”, το οποίο εμφανίζεται ως κενό διάστημα στα συστήματα Windows. Αυτός ο χαρακτήρας μπορεί να κρύψει τις επεκτάσεις αρχείων προσθέτοντας υπερβολικό κενό διάστημα, κάνοντας ένα κακόβουλο αρχείο CMD (“Рахунок на оплату.pdf[unicode character U+201F].cmd”) να μοιάζει με έγγραφο PDF. Το αρχείο περιλαμβάνει επίσης ένα καλό PDF με το ίδιο όνομα πλην του χαρακτήρα Unicode. Με το άνοιγμα του αρχείου, το όνομα του καταλόγου ταιριάζει επίσης με το καλό όνομα PDF. Αυτή η επικάλυψη ονομασίας εκμεταλλεύεται την ευπάθεια του WinRAR CVE-2023-38831, προκαλώντας την εκτέλεση του κακόβουλου CMD όταν ο στόχος επιχειρεί να ανοίξει το καλοήθες PDF.
Δείτε επίσης: Ψεύτικες ενημερώσεις browser διανέμουν τα BitRAT και Lumma Stealer malware
Στη σημερινή ψηφιακή εποχή, η προστασία από κακόβουλο λογισμικό, όπως το malware COOKBOX που διαδίσει η FlyingYeti είναι πιο κρίσιμη από ποτέ. Το κακόβουλο λογισμικό περιλαμβάνει μια σειρά από κακόβουλους τύπους λογισμικού, συμπεριλαμβανομένων ιών, trojans, ransomware και spyware, όλα σχεδιασμένα για να διεισδύουν και να βλάπτουν υπολογιστές ή δίκτυα. Η αποτελεσματική προστασία από κακόβουλο λογισμικό περιλαμβάνει τη χρήση ισχυρού λογισμικού προστασίας από ιούς που μπορεί να ανιχνεύσει και να εξουδετερώσει απειλές σε πραγματικό χρόνο. Επιπλέον, οι τακτικές ενημερώσεις λογισμικού, οι ισχυροί κωδικοί πρόσβασης και η εκπαίδευση των χρηστών σχετικά με τις τακτικές phishing είναι βασικές πρακτικές για την προστασία από κακόβουλο λογισμικό. Με την εφαρμογή ολοκληρωμένων μέτρων ασφαλείας, άτομα και οργανισμοί μπορούν να μειώσουν σημαντικά τον κίνδυνο να πέσουν θύματα κυβερνοεπιθέσεων και να διασφαλίσουν ότι τα δεδομένα τους παραμένουν ασφαλή.
Πηγή: securityaffairs
