Ένας κακόβουλος παράγοντας γνωστός ως Unfurling Hemlock μολύνει συστήματα-στόχους με έως και δέκα κομμάτια malware την ίδια στιγμή, σε καμπάνιες που διανέμουν εκατοντάδες χιλιάδες κακόβουλα αρχεία.
Δείτε επίσης: Χρήστες Mac εκτέθηκαν σε info-stealer malware μέσω Google Ads
Οι ερευνητές ασφαλείας περιγράφουν τη μέθοδο μόλυνσης ως μια «malware cluster bomb» που επιτρέπει στον παράγοντα απειλής να χρησιμοποιήσει ένα δείγμα κακόβουλου λογισμικού που διαδίδει στο μηχάνημα που έχει παραβιαστεί.
Οι τύποι malware που παραδίδονται με αυτόν τον τρόπο περιλαμβάνουν infostealers, botnet και backdoors.
Η επιχείρηση ανακαλύφθηκε από την KrakenLabs της Outpost24, την ομάδα πληροφοριών Cyber Threat Intelligence της εταιρείας ασφαλείας, που λένε ότι το Unfurling Hemlock χρονολογείται τουλάχιστον από τον Φεβρουάριο του 2023 και χρησιμοποιεί μια χαρακτηριστική μέθοδο επιμονής.
Η KrakenLabs έχει δει πάνω από 50.000 αρχεία “cluster bomb” που μοιράζονταν μοναδικά χαρακτηριστικά, που τα συνδέουν με την ομάδα Unfurling Hemlock.
Αναλύοντας την επίθεση Hemlock
Οι επιθέσεις ξεκινούν με την εκτέλεση ενός αρχείου με το όνομα «WEXTRACT.EXE» που φθάνει στις συσκευές-στόχους είτε μέσω κακόβουλων email είτε μέσω malware loaders στους οποίους έχει πρόσβαση το Unfurling Hemlock αναθέτοντας συμβάσεις στους χειριστές τους.
Δείτε ακόμα: Γιατί το Temu θεωρείται “επικίνδυνο κακόβουλο λογισμικό (malware)”;
Το κακόβουλο εκτελέσιμο περιέχει ένθετα συμπιεσμένα αρχεία, με κάθε επίπεδο να περιέχει ένα δείγμα malware και ένα ακόμη συμπιεσμένο αρχείο.
Κάθε βήμα “ρίχνει” και μια παραλλαγή κακόβουλου λογισμικού στον υπολογιστή του θύματος. Όταν φτάσει στο τελικό στάδιο, τα εξαγόμενα αρχεία εκτελούνται με αντίστροφη σειρά, που σημαίνει ότι εκτελείται πρώτο το πιο πρόσφατα εξαγόμενο malware.
H KrakenLabs έχει ανακαλύψει από τέσσερα έως επτά στάδια, πράγμα που σημαίνει ότι ο αριθμός των βημάτων και η ποσότητα του κακόβουλου λογισμικού που παραδίδεται κατά τη διάρκεια των επιθέσεων Unfurling Hemlock ποικίλλει.
Από τα δείγματα που αναλύθηκαν, οι ερευνητές συμπέραναν ότι περισσότερες από τις μισές επιθέσεις Unfurling Hemlock στόχευαν συστήματα στις Ηνωμένες Πολιτείες, ενώ σχετικά μεγάλος όγκος δραστηριότητας παρατηρήθηκε επίσης στη Γερμανία, τη Ρωσία, την Τουρκία, την Ινδία και τον Καναδά.
Η απόρριψη πολλαπλών ωφέλιμων φορτίων σε ένα παραβιασμένο σύστημα παρέχει στους φορείς απειλών υψηλά επίπεδα πλεονασμού, παρέχοντας περισσότερη επιμονή και ευκαιρίες δημιουργίας εσόδων.
Παρά το μειονέκτημα της ανίχνευσης κινδύνου, πολλοί παράγοντες απειλών ακολουθούν αυτήν την επιθετική στρατηγική, αναμένοντας ότι τουλάχιστον μερικά από τα ωφέλιμα φορτία τους θα επιβιώσουν από τη διαδικασία καθαρισμού.
Δείτε επίσης: Ρώσοι hacker στοχεύουν την Ουκρανία με XWorm RAT Malware
Το malware, όπως αυτό που χρησιμοποιεό το Unfurling Hemlock, είναι ένας τύπος επιβλαβούς κώδικα που έχει σχεδιαστεί για να διεισδύει και να βλάπτει συστήματα ή δίκτυα υπολογιστών χωρίς τη συγκατάθεση του χρήστη. Αυτή η κατηγορία λογισμικού περιλαμβάνει ιούς, worms, Trojans, ransomware, spyware, adware και άλλα. Το κακόβουλο λογισμικό στοχεύει να διακόψει, να καταστρέψει ή να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στα στοχευμένα συστήματα. Ο αντίκτυπος του κακόβουλου λογισμικού μπορεί να κυμαίνεται από μικρές ενοχλήσεις, όπως η εμφάνιση ανεπιθύμητων διαφημίσεων, έως σοβαρές συνέπειες, όπως η κλοπή ευαίσθητων πληροφοριών, το κλείδωμα των χρηστών από τα συστήματά τους ή ακόμη και η ανενεργή λειτουργία ολόκληρων δικτύων. Λόγω της διάχυτης φύσης του, η κατανόηση και η άμυνα έναντι του κακόβουλου λογισμικού είναι ζωτικής σημασίας για τη διατήρηση της ασφάλειας στον κυβερνοχώρο τόσο σε προσωπικό όσο και σε επαγγελματικό περιβάλλον.
Πηγή: bleepingcomputer
