Hackers δελεάζουν ανυποψίαστους χρήστες με δωρεάν ή πειρατικές εκδόσεις commercial λογισμικού, ώστε να παραδώσουν ένα πρόγραμμα φόρτωσης (loader) κακόβουλου λογισμικού, ονόματι Hijack Loader, το οποίο με τη σειρά του, αναπτύσσει έναν “stealer” πληροφοριών γνωστό ως Vidar Stealer.
«Οι hackers κατάφεραν να εξαπατήσουν τους χρήστες να κατεβάσουν αρχεία αρχειοθέτησης προστατευμένα με κωδικό πρόσβασης, τα οποία περιείχαν trojanized αντίγραφα μιας εφαρμογής Cisco Webex Meetings (ptService.exe)», ανέφερε ο ερευνητής ασφαλείας της Trellix, Ale Houspanossian, σε ανάλυση τη Δευτέρα.
Δείτε επίσης: Το Grandoreiro trojan στοχεύει ξανά τη Βραζιλία – Το Πακιστάν δέχεται smishing επιθέσεις
«Όταν τα ανυποψίαστα θύματα εξήγαγαν και εκτελούσαν ένα δυαδικό αρχείο “Setup.exe”, η εφαρμογή Cisco Webex Meetings φόρτωσε κρυφά ένα stealth loader κακόβουλου λογισμικού, οδηγώντας έτσι στην εκτέλεση μιας μονάδας κλοπής πληροφοριών.»
Το σημείο εκκίνησης της επίθεσης είναι ένα αρχείο αρχειοθέτησης RAR που περιέχει ένα εκτελέσιμο αρχείο με το όνομα “Setup.exe”, το οποίο στην πραγματικότητα είναι ένα αντίγραφο της μονάδας ptService της Cisco Webex Meetings. Αυτό που κάνει την καμπάνια αξιοσημείωτη είναι η χρήση τεχνικών πλευρικής φόρτωσης DLL για να ξεκινήσει κρυφά το Hijack Loader (γνωστό και ως DOILoader ή IDAT Loader). Αυτός λειτουργεί ως αγωγός για την παράδοση του Vidar Stealer μέσω ενός σεναρίου AutoIt.
«Το κακόβουλο λογισμικό χρησιμοποιεί μια γνωστή τεχνική για την παράκαμψη του Ελέγχου Λογαριασμού Χρήστη (UAC) και την εκμετάλλευση της διεπαφής CMSTPLUA COM για την κλιμάκωση των προνομίων», πρόσθεσε ο Houspanossian. «Μόλις επιτευχθεί η κλιμάκωση των προνομίων, το κακόβουλο λογισμικό προστίθεται στη λίστα εξαιρέσεων του Windows Defender για να αποφύγει την ανίχνευση.»
Η επίθεση, εκτός από τη χρήση του Vidar Stealer για τη λήψη ευαίσθητων διαπιστευτηρίων από προγράμματα περιήγησης ιστού, αξιοποιεί πρόσθετα ωφέλιμα φορτία για την ανάπτυξη ενός εξορύκτη κρυπτονομισμάτων στον παραβιασμένο υπολογιστή.
Η αποκάλυψη ακολουθεί μια έξαρση στις καμπάνιες ClearFake, στις οποίες οι επισκέπτες ιστότοπων δελεάζονται να εκτελέσουν χειροκίνητα ένα σενάριο PowerShell για να διορθώσουν ένα υποτιθέμενο πρόβλημα προβολής ιστοσελίδων. Αυτή η τεχνική είχε αποκαλυφθεί προηγουμένως από τη ReliaQuest στα τέλη του περασμένου μήνα.
Το σενάριο PowerShell λειτουργεί στη συνέχεια ως εκκίνηση για το Hijack Loader, που τελικά εγκαθιστά το κακόβουλο λογισμικό Lumma Stealer. Ο κλέφτης είναι εξοπλισμένος να παραδίδει τρία επιπλέον ωφέλιμα φορτία, συμπεριλαμβανομένου του Amadey Loader, του προγράμματος λήψης που εκκινεί το XMRig miner, και ενός κακόβουλου λογισμικού clipper για την αναδρομολόγηση των συναλλαγών κρυπτογράφησης σε πορτοφόλια που ελέγχονται από τους εισβολείς.
Διαβάστε περισσότερα: Hackers της Βόρειας Κορέας στοχεύουν τη Βραζιλία
«Οι ερευνητές της Proofpoint, Tommy Madjar, Dusty Miller και Selena Larson, παρατήρησαν ότι το Amadey κατεβάζει και άλλα κακόβουλα λογισμικά, όπως το JaskaGO, ένα πρόγραμμα βασισμένο στο Go. Επίσης, στα μέσα Απριλίου 2024, η εταιρεία ασφάλειας επιχειρήσεων ανίχνευσε ένα άλλο σύμπλεγμα δραστηριοτήτων, το ClickFix, το οποίο χρησιμοποιούσε ψεύτικες ενημερώσεις προγράμματος περιήγησης στους επισκέπτες παραβιασμένων ιστότοπων για να εξαπλώσει το Vidar Stealer, μέσω ενός μηχανισμού που περιλάμβανε αντιγραφή και εκτέλεση κώδικα PowerShell.
Ένας άλλος απειλητικός παράγοντας, το TA571, έχει υιοθετήσει παρόμοια κοινωνική μηχανική στις καμπάνιες του για κακόβουλα μηνύματα. Στέλνει email με συνημμένα HTML που, όταν ανοίγονται, εμφανίζουν ένα μήνυμα σφάλματος: “Η επέκταση ‘Word Online’ δεν είναι εγκατεστημένη στο πρόγραμμα περιήγησής σας”. Το μήνυμα περιλαμβάνει δύο επιλογές, “Τρόπος επιδιόρθωσης” και “Αυτόματη επιδιόρθωση”. Αν το θύμα επιλέξει την πρώτη επιλογή, μια εντολή PowerShell με κωδικοποίηση Base64 αντιγράφεται στο πρόχειρο και παρέχονται οδηγίες για την εκτέλεση του κώδικα. Στην περίπτωση της “Αυτόματης διόρθωσης”, εμφανίζονται αρχεία “fix.msi” ή “fix.vbs” που εκμεταλλεύονται το πρωτόκολλο “search-ms:”. Η εκτέλεση αυτών των αρχείων καταλήγει στην εγκατάσταση του Matanbuchus ή του DarkGate.
Δείτε επίσης: Το DarkGate malware εκμεταλλεύεται ελάττωμα της Microsoft
Άλλες παραλλαγές της καμπάνιας έχουν οδηγήσει στη διανομή του NetSupport RAT, επιδεικνύοντας τις συνεχείς προσπάθειες τροποποίησης και ενημέρωσης των μεθόδων επίθεσης, παρά την ανάγκη σημαντικής αλληλεπίδρασης από τον χρήστη. “Η νόμιμη χρήση και οι πολλαπλοί τρόποι αποθήκευσης του κακόβουλου κώδικα, καθώς και η χειροκίνητη εκτέλεση από το θύμα, καθιστούν δύσκολο τον εντοπισμό αυτών των απειλών”, δήλωσε η Proofpoint. “Καθώς το λογισμικό προστασίας από ιούς και τα EDR αντιμετωπίζουν δυσκολίες στην επιθεώρηση του περιεχομένου του προχείρου, ο εντοπισμός και ο αποκλεισμός πρέπει να γίνονται πριν την παρουσίαση του κακόβουλου HTML/ιστότοπου στο θύμα.”
Παράλληλα, η eSentire αποκάλυψε μια καμπάνια κακόβουλου λογισμικού που χρησιμοποιεί ιστότοπους που μιμούνται το Indeed[.]com για να διανείμει το κακόβουλο λογισμικό SolarMarker μέσω ενός δέλεαρ εγγράφου που υποτίθεται ότι προσφέρει ιδέες δημιουργίας ομάδας. “Το SolarMarker χρησιμοποιεί poisoning τεχνικές SEO για να χειραγωγήσει τα αποτελέσματα αναζήτησης και να αυξήσει την ορατότητα των παραπλανητικών συνδέσμων”, ανέφερε η καναδική εταιρεία κυβερνοασφάλειας.
Διαβάστε ακόμη: Νέο malware στοχεύει εκτεθειμένα Docker API για εξόρυξη κρυπτονομισμάτων
“Η χρήση τακτικών SEO από τους hackers για να κατευθύνουν τους χρήστες σε κακόβουλους ιστότοπους υπογραμμίζει τη σημασία της προσοχής στα κλικ στα αποτελέσματα αναζήτησης, ακόμη κι αν φαίνονται νόμιμα.”
Πηγή: thehackernews
 κακόβουλου λογισμικού, ονόματι Hijack Loader, το οποίο με τη σειρά του, αναπτύσσει έναν "stealer" πληροφοριών γνωστό ως Vidar Stealer.){kind=link}