Η ομάδα κυβερνοεπιθέσεων GrayCharlie (γνωστή και ως SmartApeSG, ZPHP ή HANEMONEY) έχει εντείνει τη δραστηριότητά της από τα μέσα του 2023, στοχεύοντας παγκοσμίως ιστότοπους WordPress. Η επίθεση είναι ιδιαίτερα ύπουλη, καθώς εκμεταλλεύεται τη φήμη νόμιμων ιστοτόπων για να μολύνει τους επισκέπτες τους.
GrayCharlie: Πώς λειτουργεί η επίθεση
Η GrayCharlie χρησιμοποιεί μια πολυεπίπεδη στρατηγική για να παρακάμψει τα συστήματα ασφαλείας και να ξεγελάσει τους χρήστες:
Οι επιτιθέμενοι αποκτούν πρόσβαση σε ιστότοπους WordPress (συχνά μέσω κλεμμένων διαπιστευτηρίων ή ευπαθειών σε plugins) και εισάγουν κακόβουλο κώδικα JavaScript στο DOM (Document Object Model) της σελίδας. Όταν ένας επισκέπτης ανοίγει τη μολυσμένη σελίδα, το script αναλύει το πρόγραμμα περιήγησης (browser) και το λειτουργικό του σύστημα.
Ανάλογα με το προφίλ του χρήστη, εμφανίζεται μία από τις εξής δύο παγίδες:
- Fake Browser Update: Μια πειστική ειδοποίηση ότι ο browser (π.χ. Chrome) χρειάζεται επείγουσα ενημέρωση.
- ClickFix (Fake CAPTCHA): Ένα ψεύτικο παράθυρο επαλήθευσης «δεν είμαι ρομπότ». Αν ο χρήστης κάνει κλικ, λαμβάνει οδηγίες να πατήσει τον συνδυασμό πλήκτρων Win+R, να επικολλήσει έναν κώδικα και να πατήσει Enter.
Το κακόβουλο «οπλοστάσιο»
Η GrayCharlie δεν περιορίζεται σε έναν μόνο τύπο malware, αλλά αναπτύσσει μια σειρά από εργαλεία για διαφορετικούς σκοπούς:
- NetSupport RAT: Το κύριο εργαλείο τους. Πρόκειται για ένα Trojan απομακρυσμένης πρόσβασης που επιτρέπει στους επιτιθέμενους να ελέγχουν πλήρως τον μολυσμένο υπολογιστή, να εκτελούν εντολές και να κλέβουν αρχεία.
- Stealc: Ένα εξειδικευμένο λογισμικό κλοπής πληροφοριών (infostealer) που στοχεύει κωδικούς πρόσβασης, δεδομένα περιηγητή και κρυπτογραφικά πορτοφόλια.
- SectopRAT: Ένα νεότερο RAT που χρησιμοποιούν για δευτερεύουσες επιθέσεις, ικανό να δημιουργεί κρυφές επιφάνειες εργασίας για τον έλεγχο των συνεδριών του browser.