Заплахите, които стоят зад устройствата за кражба на информация RedLine и Vidar, са наблюдавани при преминаването към ransomware чрез фишинг кампании, които разпространяват първоначални товари, подписани със сертификати за подписване на код с разширена валидация (EV).
„Това предполага, че участниците в заплахите рационализират операциите си, като правят техниките си многофункционални“, казват изследователите от Trend Micro в нов анализ, публикуван тази седмица.
В инцидента, разследван от компанията за киберсигурност, се казва, че неназована жертва първо е получила зловреден софтуер за кражба на информация с EV сертификати за подписване на код, последван от софтуер за откуп, използващ същата техника за доставка.
В миналото инфекциите с QakBot са използвали образци, подписани с валидни сертификати за подписване на код, за да заобиколят защитите за сигурност.
Атаките започват с фишинг имейли, в които се използват добре изпитани примамки, за да се подмамят жертвите да стартират зловредни прикачени файлове, които се маскират като PDF или JPG изображения, но всъщност са изпълними файлове, които стартират компромата при стартиране.
Докато кампанията, насочена към жертвата, доставя зловреден софтуер за кражба през юли, полезният товар на рансъмуера си проправя път в началото на август след получаване на имейл съобщение, съдържащо фалшив прикачен файл с оплакване от TripAdvisor („TripAdvisor-Complaint.pdf.htm“), което задейства поредица от стъпки, чиято кулминация е внедряването на рансъмуера.
„На този етап си струва да се отбележи, че за разлика от образците на крадеца на информация, които разследвахме, файловете, използвани за пускане на полезния товар на ransomware, нямаха EV сертификати“, казват изследователите.
„Въпреки това, двете произхождат от един и същ извършител и се разпространяват чрез един и същ метод за доставка. Следователно можем да предположим разделение на труда между доставчика на полезния товар и операторите“.
Разработката идва в момент, когато IBM X-Force откри нови фишинг кампании, разпространяващи подобрена версия на зареждащ зловреден софтуер на име DBatLoader, който беше използван като канал за разпространение на FormBook и Remcos RAR по-рано тази година.
Новите възможности на DBatLoader улесняват заобикалянето на UAC, постоянството и инжектирането на процеси, което показва, че той се поддържа активно, за да пуска зловредни програми, които могат да събират чувствителна информация и да дават възможност за отдалечен контрол на системите.
Последният набор от атаки, открити от края на юни, е разработен така, че да доставя и стоков зловреден софтуер като Agent Tesla и Warzone RAT. По-голямата част от съобщенията по електронната поща са изтъкнати англоговорящи, въпреки че са забелязани и имейли на испански и турски език.
„В няколко наблюдавани кампании участниците в заплахата са използвали достатъчен контрол върху имейл инфраструктурата, за да могат зловредните имейли да преминат през методите за удостоверяване на имейли SPF, DKIM и DMARC“, заяви компанията.
„По-голямата част от кампаниите са използвали OneDrive, за да поставят и изтеглят допълнителни полезни товари, а малка част са използвали трансфер[.]sh или нови/компрометирани домейни.“
Във връзка с това Malwarebytes разкри, че нова злонамерена рекламна кампания е насочена към потребители, които търсят софтуера за видеоконференции Webex на Cisco в търсачки като Google, за да ги пренасочи към фалшив уебсайт, който разпространява зловредния софтуер BATLOADER.
От своя страна BATLOADER установява контакт с отдалечен сървър, за да изтегли криптиран полезен товар на втори етап, който е друг известен зловреден софтуер за кражба и запис на ключове, наречен DanaBot.
Нова техника, възприета от извършителя на заплахата, е използването на URL адреси на шаблони за проследяване като механизъм за филтриране и пренасочване за снемане на отпечатъци и определяне на потенциални жертви, които представляват интерес. Посетителите, които не отговарят на критериите (напр. заявки, произхождащи от среда със сенд бокс), се насочват към легитимния сайт на Webex.
„Тъй като рекламите изглеждат толкова легитимни, няма съмнение, че хората ще кликнат върху тях и ще посетят опасни сайтове“, казва Жером Сегура, директор на отдела за разузнаване на заплахи в Malwarebytes.
„Видът на софтуера, който се използва в тези реклами, показва, че участниците в заплахите се интересуват от корпоративни жертви, които ще им предоставят идентификационни данни, полезни за по-нататъшно „тестване“ на мрежата, а в някои случаи и за внедряване на софтуер за откуп.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.