Το Emansrepo malware, είναι ένα Python infostealer που ανακαλύφθηκε από τα FortiGuard Labs τον Αύγουστο του 2024 και έχει διαδοθεί μέσω ηλεκτρονικού “phishing” που περιείχαν ψεύτικες εντολές αγοράς και τιμολόγια.
Δείτε επίσης: Voldemort malware: Κατάχρηση του Google Sheets
Ξεκίνησε τη λειτουργία του τον Νοέμβριο του 2023, όταν το Emansrepo malware ανακτά δεδομένα διείσδυσης που αποτελούνται από καταλόγους προγραμμάτων περιήγησης θυμάτων και ορισμένους καταλόγους αρχείων, τα ομαδοποιεί σε ένα αρχείο zip και τα στέλνει στο email του εισβολέα.
Ερευνητές κυβερνοασφάλειας στη Fortinet πρόσφατα εντόπισαν ότι το νέο Emansrepo malware εξοπλίζει τα αρχεία HTML για να επιτεθεί στους χρήστες Windows.
Εκτός από αυτό, η στόχευση χρηστών που εκτός Python ήταν δυνατή με τη διανομή του κακόβουλου λογισμικού που δημιουργήθηκε με το PyInstaller και επίσης μέσω της συνημμένης ανακατεύθυνσης σε λήψεις HTML.
Το συνημμένο περιέχει ένα σύνθετο dropper πολλαπλών σταδίων που βασίζεται σε τρεις αλυσίδες μόλυνσης. Η αλυσίδα 1 ξεγελά τον χρήστη σε μια ψεύτικη σελίδα λήψης του αρχείου 7z που περιέχει ένα εκτελέσιμο μεταγλωττισμένο από το AutoIT (Purchase-Order.exe) καθώς παραδίδεται.
Δείτε ακόμα: Malware παρουσιάζεται ως Palo Alto GlobalProtect και μολύνει δίκτυα
Στη συνέχεια, αυτό το εκτελέσιμο προχωρά και ανακτά και εξάγει το preoffice.zip που περιλαμβάνει ορισμένες λειτουργικές μονάδες Python μαζί με το κακόβουλο σενάριο tester.py που κλέβει πληροφορίες.
Η αλυσίδα 2 χρησιμοποιεί ένα αρχείο HTA με ενσωματωμένη Javascript που χρησιμοποιείται για τη λήψη και εκτέλεση μιας δέσμης ενεργειών PowerShell που είναι το script.ps1 που εξάγει επίσης το preoffice.zip και εκτελεί το Emansrepo malware με το run.bat.
Η αλυσίδα 3 ξεκινά με ένα ομαδικό αρχείο που δεν έχει αποκρύψει το BatchShield, που λαμβάνεται από το μήνυμα ηλεκτρονικού phishing που περιέχει το script.ps1 στο PowerShell με σκοπό τη λήψη και την εκτέλεση του σεναρίου.
Η συνδετική πτυχή όλων αυτών των αλυσίδων είναι η χρήση κακόβουλου λογισμικού γραμμένου σε Python για την εξαγωγή δεδομένων.
Δείτε επίσης: Οι Ιρανοί hackers APT33 στοχεύουν κυβερνήσεις με το Tickler malware
Το malware, όπως το Emansrepo αναφέρεται σε οποιοδήποτε λογισμικό έχει σχεδιαστεί ειδικά για να διακόπτει, να βλάπτει ή να αποκτά μη εξουσιοδοτημένη πρόσβαση σε συστήματα υπολογιστών, δίκτυα ή συσκευές. Περιλαμβάνει ένα ευρύ φάσμα απειλών, συμπεριλαμβανομένων ιών, worms, trojans, ransomware και spyware. Το κακόβουλο λογισμικό μπορεί να διεισδύσει στα συστήματα με διάφορους τρόπους, όπως τη λήψη μολυσμένων αρχείων, το κλικ σε κακόβουλους συνδέσμους ή την εκμετάλλευση τρωτών σημείων στο λογισμικό. Μόλις εισέλθει σε ένα σύστημα, μπορεί να κλέψει ευαίσθητες πληροφορίες, να καταστρέψει αρχεία ή ακόμα και να κρατήσει όμηρο τα συστήματα μέχρι να πληρωθούν τα λύτρα. Για την προστασία από κακόβουλο λογισμικό, οι χρήστες θα πρέπει να εφαρμόζουν ισχυρά μέτρα ασφαλείας, όπως η χρήση λογισμικού προστασίας από ιούς, η ενημέρωση των συστημάτων τους και η προσοχή με άγνωστα μηνύματα ηλεκτρονικού ταχυδρομείου και λήψεις.
Πηγή: cybersecuritynews
