Ερευνητές κυβερνοασφάλειας έριξαν φως σε μια νέα phishing εκστρατεία που στοχεύει το Πακιστάν χρησιμοποιώντας backdoor και phishing έγγραφα με στρατιωτική θεματολογία (military-themed) για να πραγματοποιήσουν επιθέσεις.
«Ενώ υπάρχουν πολλοί τρόποι για την ανάπτυξη κακόβουλου λογισμικού σήμερα, οι παράγοντες απειλής χρησιμοποίησαν αρχεία ZIP με κρυπτογραφημένο περιεχόμενο το οποίο προστατεύεται με κωδικό πρόσβασης», ανέφεραν οι ερευνητές Den Iuzvyk, Tim Peck και Oleg Kolesnikov σε μια αναφορά που μοιράστηκαν με το The Hacker News.
Διαβάστε σχετικά: Κακόβουλη διαφημιστική καμπάνια διαδίδει το Oyster Backdoor
Η καμπάνια είναι αξιοσημείωτη για την έλλειψη πολυπλοκότητας και τη χρήση απλών payloads για την επίτευξη απομακρυσμένης πρόσβασης στους υπολογιστές-στόχους.
Τα email περιέχουν ένα αρχείο ZIP που το περιεχόμενό του περιλαμβάνει πληροφορίες σχετικά με τη συνάντηση με το Διεθνές Στρατιωτικό-Τεχνικό Φόρουμ Army 2024, μια εκδήλωση που πράγματι οργανώνεται από το Υπουργείο Άμυνας της Ρωσικής Ομοσπονδίας. Η εκδήλωση έχει προγραμματιστεί να πραγματοποιηθεί στη Μόσχα στα μέσα Αυγούστου 2024.
Δείτε επίσης: Quishing: Phishing emails με QR codes στοχεύουν Κινέζους
Μέσα στο ZIP υπάρχει ένα αρχείο Microsoft Compiled HTML Help (CHM) και ένα κρυφό εκτελέσιμο αρχείο («RuntimeIndexer.exe»), το οποίο, όταν ανοιχτεί, εμφανίζει τις λεπτομέρειες των συναντήσεων καθώς και μερικές εικόνες, αλλά εκτελεί κρυφά το εκτελέσιμο αρχείο μόλις ο χρήστης κάνει κλικ οπουδήποτε στο έγγραφο.
Το εκτελέσιμο αρχείο έχει σχεδιαστεί να λειτουργεί ως ένα backdoor που δημιουργεί συνδέσεις με έναν απομακρυσμένο server μέσω TCP για να λαμβάνει εντολές που στη συνέχεια εκτελούνται στον παραβιασμένο υπολογιστή.
Διαβάστε επίσης: Οι Κινέζοι hackers UNC3886 χρησιμοποιούν ευπάθειες Fortinet, Ivanti και VMware
Εκτός από τη μεταφορά πληροφοριών συστήματος, εκτελεί εντολές μέσω του cmd.exe, συλλέγει τα αποτελέσματα της ενέργειας και τα εξάγει πίσω στον server. Αυτό περιλαμβάνει την εκτέλεση εντολών όπως systeminfo, tasklist, curl για την εξαγωγή της δημόσιας διεύθυνσης IP χρησιμοποιώντας το ip-api[.]com, και schtasks για να διατηρεί τη δραστηριότητά του.
«Αυτό το backdoor λειτουργεί ουσιαστικά ως ένα απομακρυσμένο trojan (RAT) που βασίζεται στη γραμμή εντολών και παρέχει στον χάκερ συνεχόμενη και ασφαλή πρόσβαση στο μολυσμένο σύστημα», σύμφωνα με τους ερευνητές.
Δείτε περισσότερα: Το ValleyRAT malware επανεμφανίζεται με νέες τακτικές για κλοπή δεδομένων
Πηγή: thehackernews
 για να πραγματοποιήσουν επιθέσεις.){kind=link}