Търсене
Close this search box.

Киберпрестъпници продават нов софтуер за криптиране и зареждане, наречен ASMCrypt, който е описан като „развита версия“ на друг зловреден софтуер за зареждане, известен като DoubleFinger.

„Идеята на този тип зловреден софтуер е да зареди крайния полезен товар, без процесът на зареждане или самият полезен товар да бъдат открити от AV/EDR и т.н.“, казва Kaspersky в анализ, публикуван тази седмица.

DoubleFinger беше документиран за първи път от руската компания за киберсигурност, като подробно бяха описани веригите за заразяване, използващи зловредния софтуер за разпространение на крадец на криптовалути, наречен GreetingGhoul, сред жертви в Европа, САЩ и Латинска Америка.

ASMCrypt, след като бъде закупен и стартиран от клиентите, е проектиран да се свързва с вътрешна услуга през мрежата TOR, като използва твърдо кодирани идентификационни данни, като по този начин позволява на купувачите да изграждат полезен товар по свой избор за използване в кампаниите си.

„Приложението създава криптирано петно, скрито във файл .PNG“, казва Kaspersky. „Това изображение трябва да бъде качено на сайт за хостинг на изображения“.

Полезните товари стават все по-популярни заради способността им да действат като услуга за доставка на зловреден софтуер, която може да се използва от други заплахи за получаване на първоначален достъп до мрежи за провеждане на атаки с цел получаване на откуп, кражба на данни и други злонамерени кибернетични дейности.

Това включва нови и утвърдени играчи, като Bumblebee, CustomerLoader и GuLoader, които се използват за доставяне на различен зловреден софтуер. Интересно е, че всички полезни товари, изтеглени от CustomerLoader, са артефакти на dotRunpeX, който на свой ред разгръща зловредния софтуер на последния етап.

„CustomerLoader е много вероятно да е свързан с Loader-as-a-Service и да се използва от множество банди“, казват от Sekoia.io. „Възможно е CustomerLoader да е нов етап, добавен преди изпълнението на инжектора dotRunpeX от неговия разработчик.“

 

От друга страна, след двумесечно прекъсване в края на август 2023 г. Bumblebee се появи отново в нова кампания за разпространение, в която се използваха сървъри за уеб разпределено авторство и версиониране (WebDAV) за разпространение на зареждащото устройство – тактика, която преди това беше използвана при атаките IcedID.

„В това усилие участниците в заплахата използваха злонамерени спам имейли, за да разпространяват шорткът на Windows (.LNK) и компресирани архивни файлове (.ZIP), съдържащи .LNK файлове“, се казва в Intel 471. „Когато бъдат активирани от потребителя, тези LNK файлове изпълняват предварително определен набор от команди, предназначени за изтегляне на зловреден софтуер Bumblebee, хостван на WebDAV сървъри.“

Зареждащото устройство е актуализиран вариант, който е преминал от използване на протокола WebSocket към TCP за комуникация със сървъра за командване и управление (C2), както и от твърдо кодиран списък на C2 сървърите към алгоритъм за генериране на домейни (DGA), който има за цел да го направи устойчив при изземване на домейни.

В знак на съзряване на икономиката на киберпрестъпността участниците в заплахите, които преди това са били приемани за отделни, си партнират с други групи, както се вижда от случая с „тъмния съюз“ между GuLoader и Remcos RAT.

Макар привидно да се рекламира като легитимен софтуер, неотдавнашен анализ на Check Point разкри използването на GuLoader за разпространение предимно на Remcos RAT, дори когато първият вече се продава като криптиращ софтуер под ново име, наречено TheProtect, което прави полезния му товар напълно неоткриваем от софтуера за сигурност.

„Лице, работещо под псевдонима EMINэM, администрира уебсайтовете BreakingSecurity и VgoStore, които открито продават Remcos и GuLoader“, заяви фирмата за киберсигурност.

„Лицата, които стоят зад тези услуги, са дълбоко обвързани с киберпрестъпната общност, като използват платформите си за улесняване на незаконни дейности и печелят от продажбата на заредени със зловреден софтуер инструменти.“

Разработката идва в момент, когато в дивата природа са забелязани нови версии на зловреден софтуер за кражба на информация, наречен Lumma Stealer, като зловредният софтуер се разпространява чрез фалшив уебсайт, който имитира легитимен сайт за прехвърляне на .DOCX в .PDF.

По този начин, когато се качи файл, уебсайтът връща зловреден двоичен файл, който се маскира като PDF файл с двойно разширение „.pdf.exe“, който при изпълнение събира чувствителна информация от заразените хостове.

Струва си да се отбележи, че Lumma Stealer е най-новото разклонение на известен зловреден софтуер за кражби на име Arkei, който през последните няколко години еволюира във Vidar, Oski и Mars.

„Зловредният софтуер непрекъснато се развива, както се вижда от Lumma Stealer, който има множество разновидности с различна функционалност“, казва Kaspersky .

 

Източник: The Hacker News

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
8 декември 2024

Off topic: Не яжте!

Хората, които си купуват нови електронни устройства, имат една пост...
8 декември 2024

„Стачка“ на роботи поражда опасения за сигурността

Тест в Шанхай разкрива способността на робот с изкуствен интелект д...
Бъдете социални
Още по темата
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
29/11/2024

Десетки недостатъци в индус...

Разкрити са близо две дузини уязвимости...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!