Ένα νέο worm που διαχέεται αυτόνομα με το όνομα «CMoon», ικανό να κλέβει διαπιστευτήρια λογαριασμού και άλλα δεδομένα, διανέμεται στη Ρωσία από τις αρχές Ιουλίου 2024, μέσω ενός παραβιασμένου ιστότοπου της εταιρείας παροχής αερίου.
Δείτε επίσης: Ρώσοι hacker στοχεύουν την Ουκρανία με XWorm RAT Malware
Σύμφωνα με ερευνητές της Kaspersky που ανακάλυψαν την καμπάνια, το CMoon μπορεί να εκτελέσει ένα ευρύ φάσμα λειτουργιών, συμπεριλαμβανομένης της φόρτωσης πρόσθετων ωφέλιμων φορτίων, της λήψης στιγμιότυπων οθόνης και της πραγματοποίησης επιθέσεων DDoS. Κρίνοντας από το κανάλι διανομής που χρησιμοποιούσαν οι παράγοντες απειλής, το εύρος στόχευσης επικεντρώνεται σε στόχους υψηλής αξίας και όχι σε τυχαίους χρήστες του Διαδικτύου, γεγονός που υποδηλώνει μια πολύπλοκη λειτουργία.
Η Kaspersky λέει ότι η αλυσίδα μόλυνσης ξεκινά όταν οι χρήστες κάνουν κλικ σε συνδέσμους για κανονιστικά έγγραφα (docx, .xlsx, .rtf και .pdf) που βρίσκονται σε διάφορες σελίδες του ιστότοπου μιας εταιρείας που παρέχει υπηρεσίες παροχής αερίου σε μια ρωσική πόλη. Οι φορείς απειλών αντικατέστησαν τους συνδέσμους των εγγράφων με συνδέσμους σε κακόβουλα εκτελέσιμα, τα οποία φιλοξενήθηκαν επίσης στον ιστότοπο και παραδόθηκαν στα θύματα ως αρχεία αυτοεξαγωγής που περιείχαν το αρχικό έγγραφο και το ωφέλιμο φορτίο CMoon, με το όνομα του αρχικού συνδέσμου.
Αφού η εταιρεία φυσικού αερίου ειδοποιήθηκε για αυτήν την παραβίαση, τα κακόβουλα αρχεία και οι σύνδεσμοι αφαιρέθηκαν από τον ιστότοπό της στις 25 Ιουλίου 2024. Ωστόσο, λόγω των μηχανισμών αυτοδιάδοσης του CMoon worm, η διανομή του μπορεί να συνεχιστεί αυτόνομα.
Το CMoon είναι ένας ιός τύπου worm .NET που αντιγράφεται σε έναν πρόσφατα δημιουργημένο φάκελο που ονομάζεται από το λογισμικό προστασίας από ιούς που εντόπισε στη συσκευή που έχει παραβιαστεί ή ένα φάκελο που μοιάζει με φάκελο συστήματος εάν δεν εντοπιστούν AV. Το worm δημιουργεί μια συντόμευση στον κατάλογο εκκίνησης των Windows για να διασφαλίσει ότι εκτελείται κατά την εκκίνηση του συστήματος, διασφαλίζοντας έτσι και την επιμονή μεταξύ των επανεκκινήσεων.
Δείτε ακόμα: Η ομάδα Sandworm πραγματοποιεί επιθέσεις ως hacktivists
Για να αποφευχθεί η δημιουργία υποψιών κατά τη διάρκεια των μη αυτόματων ελέγχων χρήστη, αλλάζει τις ημερομηνίες δημιουργίας και τροποποίησης των αρχείων του έως τις 22 Μαΐου 2013.
Το worm παρακολουθεί τις νέες μονάδες USB που έχουν συνδεθεί και όταν συνδέονται στο μολυσμένο μηχάνημα, αντικαθιστά όλα τα αρχεία εκτός από τα ‘LNK’ και τα ‘EXE’ με συντομεύσεις για το εκτελέσιμο αρχείο του. Το CMoon worm αναζητά επίσης ενδιαφέροντα αρχεία που είναι αποθηκευμένα στους δίσκους USB και τα αποθηκεύει προσωρινά σε κρυφούς καταλόγους (‘.intelligence’ και ‘.usb’) προτού αυτά εξαχθούν στον διακομιστή του εισβολέα.
Το CMoon διαθέτει τυπική λειτουργία κλοπής πληροφοριών, στόχευση πορτοφολιών κρυπτονομισμάτων, δεδομένα αποθηκευμένα σε προγράμματα περιήγησης ιστού, εφαρμογές messenger, προγράμματα-πελάτες FTP και SSH και αρχεία εγγράφων στο USB ή φακέλους χρήστη που περιέχουν τις συμβολοσειρές κειμένου “secret“, “service” ή ” Κωδικός πρόσβασης.’
Τα κλεμμένα αρχεία και οι πληροφορίες συστήματος συσκευάζονται και αποστέλλονται σε έναν εξωτερικό διακομιστή, όπου αποκρυπτογραφούνται (RC4) και επαληθεύονται για την ακεραιότητά τους χρησιμοποιώντας έναν κατακερματισμό MD5.
Η Kaspersky αφήνει ανοιχτή την πιθανότητα περισσότερων τοποθεσιών εκτός της τρέχουσας ανακάλυψής της να διανέμουν το CMoon worm, επομένως συνιστάται επαγρύπνηση. Ανεξάρτητα από το πόσο στοχευμένη μπορεί να είναι αυτή η εκστρατεία, το γεγονός ότι το worm εξαπλώνεται αυτόνομα σημαίνει ότι θα μπορούσε να φτάσει σε ακούσια συστήματα και να δημιουργήσει κατάλληλες συνθήκες για ευκαιριακές επιθέσεις.
Δείτε επίσης: Η ομάδα Seedworm προωθεί malware μέσω εργαλείων RMM
Το κακόβουλο λογισμικό τύπου worm, όπως το CMoon, είναι ένας τύπος κακόβουλου λογισμικού που αναπαράγει τον εαυτό του προκειμένου να εξαπλωθεί σε άλλους υπολογιστές, συχνά χωρίς να απαιτείται αρχείο κεντρικού υπολογιστή. Σε αντίθεση με τους ιούς, οι οποίοι απαιτούν ανθρώπινη δράση για να αναπαραχθούν, τα worms μπορούν να εκμεταλλευτούν αυτόματα τις ευπάθειες στα λειτουργικά συστήματα και τα δίκτυα για να πολλαπλασιαστούν. Μπορούν να προκαλέσουν σημαντική ζημιά καταναλώνοντας εύρος ζώνης, καταστρέφοντας αρχεία και θέτοντας σε κίνδυνο την ασφάλεια του συστήματος. Αξιοσημείωτα παραδείγματα κακόβουλου λογισμικού τύπου worm περιλαμβάνουν τα περίφημα WannaCry και SQL Slammer, τα οποία όχι μόνο επηρέασαν μεμονωμένους χρήστες αλλά οδήγησαν επίσης σε μεγάλης κλίμακας διακοπές σε παγκόσμια δίκτυα. Δεδομένης της ικανότητάς τους να εξαπλώνονται γρήγορα, αποτελεσματικά μέτρα πρόληψης, όπως τακτικές ενημερώσεις και ισχυρά πρωτόκολλα ασφαλείας, είναι απαραίτητα για την προστασία των συστημάτων από επιθέσεις worm.
Πηγή: bleepingcomputer
