ΑρχικήsecurityTo Hackhound Password Stealer χρησιμοποιήθηκε σε κατασκοπική καμπάνια

To Hackhound Password Stealer χρησιμοποιήθηκε σε κατασκοπική καμπάνια

Οι ερευνητές ασφαλείας από τη McAfee ήρθαν αντιμέτωποι με έναν εκτεθειμένο Web διακομιστή που προοριζόταν να φιλοξενήσει τους C&C servers για διαφορετικούς password stealers, οι οποίοι χρησιμοποιήθηκαν για να στοχεύσουν αρκετές εταιρείες ως μέρος μιας βιομηχανικής κατασκοπικής εκστρατείας.

To Hackhound Password Stealer χρησιμοποιήθηκε σε κατασκοπική καμπάνια

Το λάθος που επέτρεψε στους ερευνητές να ενώσουν τα κομμάτια ήταν η έλλειψη της προσοχής στη λεπτομέρεια του απατεώνα, δεδομένου ότι ξέχασε να διαγράψει το ZIP πακέτο εγκατάστασης του C&C εξυπηρετητή από έναν από τους Web διακομιστές που παραβιάστηκαν και χρησιμοποιήθηκαν για να φιλοξενήσουν αρκετούς C&C servers.

Με την εξέταση των αρχείων σε αυτό το ZIP αρχείο και τον C&C server source κώδικα, οι McAfee ερευνητές εντόπισαν γρήγορα το server-side component του ISR Stealer, μια τροποποιημένη έκδοση του Hackhound infostealer, το οποίο, με τη σειρά του, ήταν ένα αρχαίο κομμάτι κακόβουλου λογισμικού που εντοπίστηκε πρώτη φορά το 2009.

hackhound-password-stealer-image

Οι ερευνητές ανακάλυψαν ότι οι απατεώνες χρησιμοποίησαν το IRS Stealer malware για να δημιουργήσουν ένα password stealer ικανό να κλέβει τα διαπιστευτήρια σύνδεσης από εφαρμογές όπως Internet Explorer, Firefox, Google Chrome, Opera, Safari, Yahoo Messenger, MSN Messenger, Pidgin, FileZilla, Internet Download Manager, JDownloader και Trillian.

Οι απατεώνες διένειμαν αυτό το custom password stealer ως RAR ή Ζ αρχεία που αποστέλλονταν μέσω spear-phishing emails σε διάφορες εταιρείες που ασχολούνται με εξαρτήματα μηχανημάτων.

Αυτά τα RAR και Ζ αρχεία περιείχαν εκτελέσιμα που θα φόρτωναν το Ρassword-stealing κακόβουλο λογισμικό. Αν το θύμα να κατέβαζε τα RAR / Ζ αρχεία και εκτελούσε το αρχείο EXE που βρισκόταν στο εσωτερικό, το malware θα συνέλεγε όλους τους διαθέσιμους κωδικούς πρόσβασης και θα έστελνε τα στοιχεία στον C&C εξυπηρετητή ως ένα HTTP αίτημα (request).

Το IRS Stealer, component από την πλευρά του server, θα αποδεχόταν τα υποβαλλόμενα στοιχεία μόνο εάν τo user agent string ήταν «HardCore Software For : Public», ειδικά για το client-side component. Τα δεδομένα τότε θα αποθηκεύονταν σε ένα τοπικό INI αρχείο.

Κοιτάζοντας πίσω στα ιστορικά δεδομένα, οι McAfee ερευνητές ανακάλυψαν ότι η εκστρατεία αυτή είχε πράγματι ξεκινήσει τον Ιανουάριο του 2016 και ότι οι απατεώνες είχαν παραβιάσει διάφορες ιστοσελίδες όπου φιλοξενούσαν τους C&C servers τους.

Σε μία από αυτές τις εκτεθειμένες ιστοσελίδες, οι ερευνητές ανακάλυψαν πάνω από δέκα C&C servers που λάμβαναν δεδομένα από διάφορα θύματα, που δείχνουν ότι οι εγκληματίες δεν είχαν ως στόχο μόνο μία εταιρεία, αλλά μια ολόκληρη κατηγορία επιχειρήσεων που λειτουργούν σε έναν συγκεκριμένο τομέα δραστηριότητας.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS