Οι χρήστες του Microsoft Windows προειδοποιούνται να προσέχουν μια «υψηλά εξελιγμένη και επικίνδυνη απειλή» με νέα emails που «εγκαθιστούν κρυφά» κακόβουλο λογισμικό σε υπολογιστές. Η επίθεση έχει υπερδιπλασιαστεί μέσα σε μόλις δύο εβδομάδες και τώρα «λειτουργεί σε πραγματικά παγκόσμια κλίμακα».
Αυτή η προειδοποίηση προέρχεται από τον Frankie Sclafani της DeepWatch με αφορμή νέα αναφορά της Fortinet. Η εταιρεία ασφαλείας εντόπισε μια νέα επίθεση μέσω email που «εκμεταλλεύεται προσεκτικά κατασκευασμένα emails για να παραδώσει κακόβουλα URLs που συνδέονται με πειστικές σελίδες phishing».
Πώς λειτουργεί η επίθεση
Τα emails που φτάνουν στα εισερχόμενα περιλαμβάνουν «ένα μικρό, δυσανάγνωστο script που ανακατευθύνει τα θύματα σε έναν πλαστό ιστότοπο εξατομικευμένο με τον τομέα email του στόχου». Αυτό σημαίνει ότι θα κλέψει το λογότυπο και το στιλ του οργανισμού σας για να σας ξεγελάσει να κατεβάσετε ένα μήνυμα. Αν το κάνετε, διακινδυνεύετε μόλυνση με διάφορα RATs, «συμπεριλαμβανομένων των PureHVNC, DCRat και Babylon RAT».
Παραδείγματα ύποπτων emails
Το μήνυμα μπορεί να είναι μια παγίδα με θέμα τηλεφωνητή με θέμα email «Missed Phone Call – <Date>» και συνημμένο αρχείο με όνομα ‘VN0001210000200.html’. Ή μπορεί να είναι μια «εντολή αγοράς με συνημμένο αρχείο με όνομα ‘採購訂單.html’».
Ο στόχος είναι ο ίδιος.
«Να οδηγήσουν τα θύματα σε σελίδα phishing που είναι ήδη εξατομικευμένη με το email τους, να τα επισημάνουν για παρακολούθηση και να χρησιμοποιήσουν fragment-based parameter passing ώστε να κρατήσουν το αναγνωριστικό εκτός των καταγραφών δικτύου».
Το τελικό στάδιο της επίθεσης
Το Zip αρχείο που κατεβάζετε είναι γεμάτο με άχρηστα δεδομένα για να κρύψει την επίθεση. Αλλά «τελικά καλεί το ShellExecute να τρέξει το PowerShell με ‘-ExecutionPolicy bypass’ και την αποκωδικοποιημένη εντολή χρησιμοποιώντας window style 0. Αυτή η μυστική ροή εκτέλεσης επιτρέπει στο κακόβουλο λογισμικό να φορτώσει και να τρέξει το επόμενο στάδιο χωρίς να εμφανίσει ορατό console ή ειδοποίηση».
Μόνιμη πρόσβαση για τους εισβολείς
Ο J Stephen Kowski από την εταιρεία email security SlashNext εξηγεί ότι «τα κακόβουλα αρχεία δεν προορίζονται απλώς για την κλοπή κωδικών αλλά για την εγκατάσταση ισχυρών εργαλείων απομακρυσμένης πρόσβασης που δίνουν στους επιτιθέμενους μακροχρόνιο έλεγχο». Με απλά λόγια, «δεν πρόκειται για μια απλή κλοπή δεδομένων μιας φοράς – είναι πλήρης παραβίαση συστήματος που μπορεί να εξαπλωθεί σιωπηλά μέσα σε εταιρικά δίκτυα».
Η αναφορά της Fortinet
Η Fortinet αναφέρει ότι η εκστρατεία χρησιμοποιεί το UpCrypter «ως το κεντρικό πλαίσιο φόρτωσης για να οργανώσει και να αναπτύξει πολλαπλά εργαλεία απομακρυσμένης πρόσβασης», και προειδοποιεί ότι «ο συνδυασμός ενός ενεργά συντηρούμενου loader, πολυεπίπεδης απόκρυψης και ποικίλης παράδοσης RAT είναι ένα ευέλικτο οικοσύστημα παράδοσης απειλών ικανό να παρακάμπτει άμυνες και να διατηρεί επιμονή».
Η συμβολή της τεχνητής νοημοσύνης
Η ανάπτυξη μιας τέτοιας εκστρατείας απειλής είναι πλέον ταχύτερη από ποτέ, ειδικά με τη χρήση νέων εργαλείων τεχνητής νοημοσύνης. «Οι επιτιθέμενοι μπορούν πλέον εύκολα να φτιάξουν emails phishing και ψεύτικους ιστότοπους χρησιμοποιώντας έτοιμα εργαλεία που βρίσκονται online. Αυτά τα εργαλεία τους επιτρέπουν να κατασκευάσουν ένα ολοκληρωμένο σύστημα για τη διάδοση κακόβουλου λογισμικού, όχι απλά να παραδώσουν απλές απάτες».
Παγκόσμια εξάπλωση
Και σε αντίθεση με κάποιες εκστρατείες, αυτή δεν είναι στοχευμένη σε συγκεκριμένους κλάδους ή χώρες.
«Τα δεδομένα μας δείχνουν ότι η εκστρατεία αυτή δεν περιορίζεται σε μία περιοχή. Αντίθετα, λειτουργεί σε πραγματικά παγκόσμια κλίμακα. Σε μόλις δύο εβδομάδες, ο αριθμός ανιχνεύσεων υπερδιπλασιάστηκε, αντικατοπτρίζοντας ένα γρήγορο και επιθετικό μοτίβο ανάπτυξης».
Τομείς που έχουν πληγεί
Οι τομείς που έχουν πληγεί μέχρι στιγμής περιλαμβάνουν «τη βιομηχανία, την τεχνολογία, την υγεία, τις κατασκευές και το λιανεμπόριο/φιλοξενία. Όπου κι αν βρίσκεστε και ό,τι κι αν κάνετε, μπορεί να βρίσκεστε σε κίνδυνο».
Συμβουλές προστασίας
Μην ανοίγετε μηνύματα ή κατεβάζετε συνημμένα εκτός αν γνωρίζετε με βεβαιότητα από πού προέρχονται. Μην ακολουθείτε συνδέσμους. Και να υποθέτετε ότι κάθε ιστότοπος και σελίδα σύνδεσης που βλέπετε είναι ψεύτικη, εκτός αν είστε βέβαιοι ότι την έχετε επισκεφθεί με τον συνηθισμένο τρόπο.
