Киберпрестъпници продават нов софтуер за криптиране и зареждане, наречен ASMCrypt, който е описан като „развита версия“ на друг зловреден софтуер за зареждане, известен като DoubleFinger.
„Идеята на този тип зловреден софтуер е да зареди крайния полезен товар, без процесът на зареждане или самият полезен товар да бъдат открити от AV/EDR и т.н.“, казва Kaspersky в анализ, публикуван тази седмица.
DoubleFinger беше документиран за първи път от руската компания за киберсигурност, като подробно бяха описани веригите за заразяване, използващи зловредния софтуер за разпространение на крадец на криптовалути, наречен GreetingGhoul, сред жертви в Европа, САЩ и Латинска Америка.
ASMCrypt, след като бъде закупен и стартиран от клиентите, е проектиран да се свързва с вътрешна услуга през мрежата TOR, като използва твърдо кодирани идентификационни данни, като по този начин позволява на купувачите да изграждат полезен товар по свой избор за използване в кампаниите си.
„Приложението създава криптирано петно, скрито във файл .PNG“, казва Kaspersky. „Това изображение трябва да бъде качено на сайт за хостинг на изображения“.
Полезните товари стават все по-популярни заради способността им да действат като услуга за доставка на зловреден софтуер, която може да се използва от други заплахи за получаване на първоначален достъп до мрежи за провеждане на атаки с цел получаване на откуп, кражба на данни и други злонамерени кибернетични дейности.
Това включва нови и утвърдени играчи, като Bumblebee, CustomerLoader и GuLoader, които се използват за доставяне на различен зловреден софтуер. Интересно е, че всички полезни товари, изтеглени от CustomerLoader, са артефакти на dotRunpeX, който на свой ред разгръща зловредния софтуер на последния етап.
„CustomerLoader е много вероятно да е свързан с Loader-as-a-Service и да се използва от множество банди“, казват от Sekoia.io. „Възможно е CustomerLoader да е нов етап, добавен преди изпълнението на инжектора dotRunpeX от неговия разработчик.“
От друга страна, след двумесечно прекъсване в края на август 2023 г. Bumblebee се появи отново в нова кампания за разпространение, в която се използваха сървъри за уеб разпределено авторство и версиониране (WebDAV) за разпространение на зареждащото устройство – тактика, която преди това беше използвана при атаките IcedID.
„В това усилие участниците в заплахата използваха злонамерени спам имейли, за да разпространяват шорткът на Windows (.LNK) и компресирани архивни файлове (.ZIP), съдържащи .LNK файлове“, се казва в Intel 471. „Когато бъдат активирани от потребителя, тези LNK файлове изпълняват предварително определен набор от команди, предназначени за изтегляне на зловреден софтуер Bumblebee, хостван на WebDAV сървъри.“
Зареждащото устройство е актуализиран вариант, който е преминал от използване на протокола WebSocket към TCP за комуникация със сървъра за командване и управление (C2), както и от твърдо кодиран списък на C2 сървърите към алгоритъм за генериране на домейни (DGA), който има за цел да го направи устойчив при изземване на домейни.
В знак на съзряване на икономиката на киберпрестъпността участниците в заплахите, които преди това са били приемани за отделни, си партнират с други групи, както се вижда от случая с „тъмния съюз“ между GuLoader и Remcos RAT.
Макар привидно да се рекламира като легитимен софтуер, неотдавнашен анализ на Check Point разкри използването на GuLoader за разпространение предимно на Remcos RAT, дори когато първият вече се продава като криптиращ софтуер под ново име, наречено TheProtect, което прави полезния му товар напълно неоткриваем от софтуера за сигурност.
„Лице, работещо под псевдонима EMINэM, администрира уебсайтовете BreakingSecurity и VgoStore, които открито продават Remcos и GuLoader“, заяви фирмата за киберсигурност.
„Лицата, които стоят зад тези услуги, са дълбоко обвързани с киберпрестъпната общност, като използват платформите си за улесняване на незаконни дейности и печелят от продажбата на заредени със зловреден софтуер инструменти.“
Разработката идва в момент, когато в дивата природа са забелязани нови версии на зловреден софтуер за кражба на информация, наречен Lumma Stealer, като зловредният софтуер се разпространява чрез фалшив уебсайт, който имитира легитимен сайт за прехвърляне на .DOCX в .PDF.
По този начин, когато се качи файл, уебсайтът връща зловреден двоичен файл, който се маскира като PDF файл с двойно разширение „.pdf.exe“, който при изпълнение събира чувствителна информация от заразените хостове.
Струва си да се отбележи, че Lumma Stealer е най-новото разклонение на известен зловреден софтуер за кражби на име Arkei, който през последните няколко години еволюира във Vidar, Oski и Mars.
„Зловредният софтуер непрекъснато се развива, както се вижда от Lumma Stealer, който има множество разновидности с различна функционалност“, казва Kaspersky .
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.