Ερευνητές ασφαλείας της Group-IB αποκάλυψαν τις κακόβουλες δραστηριότητες μιας νέας hacking ομάδας (Boolka), που ασχολείται με την ανάπτυξη εξελιγμένου malware (BMANAGER) και με web επιθέσεις.
Σύμφωνα με μια πρόσφατη έκθεση της εταιρείας, η ομάδα εκμεταλλεύεται ευπάθειες μέσω επιθέσεων SQL injection, τουλάχιστον από το 2022. Μάλιστα, οι ερευνητές παρατήρησαν ότι οι hackers Boolka στοχεύουν ιστότοπους σε διάφορες χώρες. Τα κακόβουλα scripts που εισάγονται σε αυτούς τους ιστότοπους έχουν σχεδιαστεί για να κλέβουν δεδομένα.
Τον Ιανουάριο του 2024, οι αναλυτές της Group-IB εντόπισαν μια σελίδα των hackers Boolka, η οποία διένειμε το Trojan BMANAGER. Αυτή η ανακάλυψη οδήγησε στην αποκάλυψη της πλατφόρμας παράδοσης κακόβουλου λογισμικού της Boolka, η οποία αξιοποιεί το BeEF framework.
Δείτε επίσης: Κινέζοι hackers διανέμουν τα SpiceRAT και SugarGh0st malware
Η πλατφόρμα χρησιμοποιεί μια τροποποιημένη σελίδα διαχειριστή Django. Το κακόβουλο JavaScript, που εισάγεται από τους hackers Boolka, συλλαμβάνει τα user inputs από μολυσμένους ιστότοπους και κλέβει ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης και ονόματα χρήστη. Στη συνέχεια, στέλνει αυτές τις πληροφορίες στον διακομιστή των επιτιθέμενων.
Οι ερευνητές παρατήρησαν, επίσης, ότι η ομάδα Boolka εξελίσσει συνεχώς τις τεχνικές της. Στα τέλη του 2023, τα payloads της βελτιώθηκαν για να συμπεριλάβουν νέους ελέγχους και λειτουργίες, όπως η δημιουργία κρυφών στοιχείων σε ιστοσελίδες, για αποφυγή εντοπισμού.
Περαιτέρω έρευνα αποκάλυψε πολλά domain names που χρησιμοποιούνται για τη διανομή malware. Μέχρι τον Μάρτιο του 2024, η πλατφόρμα παράδοσης κακόβουλου λογισμικού της Boolka διένειμε ενεργά το Trojan BMANAGER. Αυτό το malware μπορεί να εκτελεί μια σειρά από κακόβουλες δραστηριότητες, συμπεριλαμβανομένης της εξαγωγής δεδομένων, της καταγραφής πληκτρολογήσεων και της κλοπής αρχείων.
Δείτε επίσης: Fickle malware: Χρησιμοποιεί PowerShell για παράκαμψη UAC και εξαγωγή δεδομένων
Το BMANAGER περιλαμβάνει διάφορα στοιχεία, όπως τα BMREADER, BMLOG, BMHOOK και BMBACKUP. Κάθε ενότητα έχει μια συγκεκριμένη λειτουργία και όλες μαζί ενισχύουν συλλογικά την ικανότητα των hackers να εξάγουν πολύτιμες πληροφορίες από μολυσμένα συστήματα.
Αυτή η συγκεκριμένη καμπάνια υπογραμμίζει τη σημασία του να είμαστε όλοι προσεκτικοί με περίεργα sites που συναντάμε στο διαδίκτυο. Οι επιθέσεις διανομής malware χρησιμεύουν ως υπενθύμιση ότι οι απειλές στον κυβερνοχώρο εξελίσσονται συνεχώς και γίνονται πιο περίπλοκες. Ως χρήστες, είναι σημαντικό να παραμείνουμε ενημερωμένοι και να λαμβάνουμε τις απαραίτητες προφυλάξεις για να προστατευτούμε.
Επιπλέον, για να αμυνθούν οι οργανισμοί έναντι του BMANAGER Trojan και παρόμοιων απειλών, θα πρέπει να διατηρούν τα συστήματα και τις εφαρμογές τους ενημερωμένα, να χρησιμοποιούν προηγμένες λύσεις προστασίας, να παρακολουθούν το network traffic και να χρησιμοποιούν συστήματα ανίχνευσης εισβολών. Επίσης, η εκπαίδευση υπαλλήλων σχετικά με πρακτικές phishing και ασφαλούς περιήγησης είναι απαραίτητη για την αποφυγή τέτοιων επιθέσεων.
Δείτε επίσης: Το Evasive SquidLoader Malware στοχεύει κινέζικους οργανισμούς
Καθώς η τεχνολογία εξελίσσεται, το ίδιο συμβαίνει και με τις τακτικές που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου. Η ενημέρωση σχετικά με πιθανές απειλές και η λήψη των απαραίτητων προφυλάξεων μπορεί να σας βοηθήσει να διατηρήσετε τη συσκευή και τα προσωπικά σας στοιχεία ασφαλή.
Πηγή: www.infosecurity-magazine.com
, που ασχολείται με την ανάπτυξη του malware BMANAGER){kind=link}