Μια κακόβουλη διαφημιστική καμπάνια αξιοποιεί εγκαταστάσεις με δημοφιλές trojanized λογισμικό, όπως το Google Chrome και το Microsoft Teams, για να εγκαταστήσει το Oyster Backdoor.
Σύμφωνα με τα ευρήματα της Rapid7, εντοπίστηκαν παρόμοιοι ιστότοποι που φιλοξενούν τα κακόβουλα ωφέλιμα φορτία, στα οποία ανακατευθύνονται οι χρήστες μέσω μηχανών αναζήτησης, όπως το Google και το Bing.
Διαβάστε σχετικά: Fickle malware: Χρησιμοποιεί PowerShell για παράκαμψη UAC και εξαγωγή δεδομένων
Οι παράγοντες απειλής παρασύρουν ανυποψίαστους χρήστες σε ψεύτικους ιστότοπους, οι οποίοι ισχυρίζονται ότι περιέχουν νόμιμο λογισμικό. Ωστόσο, η προσπάθεια λήψης του αρχείου εγκατάστασης ξεκινά μια μόλυνση μέσω κακόβουλου λογισμικού. Συγκεκριμένα, το αρχείο αυτό χρησιμεύει ως διαδρομή για το Oyster backdoor, η οποία είναι ικανή να συλλέγει πληροφορίες για τον παραβιασμένο κεντρικό υπολογιστή, να επικοινωνεί με μια hard-coded command-and-control (C2) διεύθυνση, και να υποστηρίζει απομακρυσμένη εκτέλεση κώδικα.
Παρόλο που το Oyster backdoor έχει παρατηρηθεί στο παρελθόν να διανέμεται μέσω ενός αποκλειστικού loader στοιχείου, γνωστού ως Broomstick Loader (ή Oyster Installer), οι πιο πρόσφατες αλυσίδες επίθεσης συνεπάγονται την άμεση εγκατάσταση του backdoor. Το κακόβουλο λογισμικό φαίνεται να σχετίζεται με την ITG23, μια ομάδα που συνδέεται με τη Ρωσία και βρίσκεται πίσω από το κακόβουλο λογισμικό TrickBot.
Μετά την εκτέλεση του κακόβουλου λογισμικού, ακολουθεί η εγκατάσταση του νόμιμου λογισμικού Microsoft Teams, σε μια προσπάθεια να συνεχιστεί η παραπλάνηση. Η Rapid7 ανέφερε επίσης ότι το κακόβουλο λογισμικό χρησιμοποιείται για τη δημιουργία ενός σεναρίου PowerShell, το οποίο διασφαλίζει τη διατήρησή του στο σύστημα.
Δείτε ακόμη: Hackers εκμεταλλεύονται νόμιμα sites για τη διανομή του BadSpace Windows Backdoor
Μια εγκληματική ομάδα στον κυβερνοχώρο γνωστή ως Rogue Raticate (ή RATicate) αποδίδεται πίσω από μια phishing εκστρατεία που χρησιμοποιεί PDF δολώματα για να πείσει τους χρήστες να κάνουν κλικ σε μια κακόβουλη διεύθυνση URL και να εγκαταστήσουν το NetSupport RAT.
“Εάν ένας χρήστης εξαπατηθεί επιτυχώς και κάνει κλικ στη διεύθυνση URL, μέσω ενός Συστήματος Διανομής Κυκλοφορίας (TDS) θα οδηγηθεί στην υπόλοιπη αλυσίδα και τελικά το Εργαλείο Απομακρυσμένης Πρόσβασης NetSupport θα εγκατασταθεί στον υπολογιστή του,” δήλωσε η Symantec.
Παράλληλα, εμφανίστηκε μια νέα πλατφόρμα phishing-as-a-service (PhaaS) ονόματι ONNX Store, η οποία επιτρέπει στους πελάτες να ενορχηστρώνουν καμπάνιες phishing χρησιμοποιώντας ενσωματωμένους κωδικούς QR σε συνημμένα PDF που οδηγούν τα θύματα σε σελίδες συλλογής διαπιστευτηρίων.
Το ONNX Store, το οποίο προσφέρει επίσης αλεξίσφαιρες υπηρεσίες φιλοξενίας και RDP μέσω ενός ρομπότ Telegram, πιστεύεται ότι είναι μια ανανεωμένη έκδοση του κιτ phishing Caffeine, το οποίο τεκμηριώθηκε για πρώτη φορά από την Mandiant της Google τον Οκτώβριο του 2022. Η υπηρεσία διαχειρίζεται από έναν απειλητικό παράγοντα που μιλάει αραβικά και είναι γνωστός με το όνομα MRxC0DER.
Εκτός από τη χρήση των μηχανισμών anti-bot της Cloudflare για την αποφυγή εντοπισμού από σαρωτές ιστότοπων phishing, οι διευθύνσεις URL που διανέμονται μέσω των καμπανιών quishing είναι ενσωματωμένες με κρυπτογραφημένο JavaScript. Αυτή αποκωδικοποιείται κατά τη φόρτωση της σελίδας, συλλέγοντας metadata δικτύου από τα θύματα και αναμεταδίδοντας διακριτικά 2FA.
Διαβάστε επίσης: Κινέζοι hackers χρησιμοποιούσαν συσκευές F5 BIG-IP για κυβερνοκατασκοπεία
“Το ONNX Store διαθέτει έναν μηχανισμό παράκαμψης ελέγχου ταυτότητας δύο παραγόντων (2FA)“, ανέφερε ο ερευνητής του EclecticIQ, Arda Büyükkaya. “Οι σελίδες phishing μοιάζουν με αυθεντικές διεπαφές σύνδεσης του Microsoft 365, εξαπατώντας τους χρήστες να εισάγουν τα στοιχεία ελέγχου ταυτότητας τους.”
Πηγή: thehackernews
