Οι hackers είναι πολύ ευρηματικοί όταν θέλουν να κάνουν μια επίθεση. Ψάχνουν συνεχώς για ευπάθειες, «πειράζουν» αρχεία, προκειμένου να εξυπηρετούν τους σκοπούς τους, και άλλα πολλά. Αυτή τη φορά, κάποιοι hackers χρησιμοποιούν κακόβουλα αρχεία MSI, τα οποία μεταφορτώνουν και εκτελούν κακόβουλα αρχεία, που παρακάμπτουν τα συμβατικά συστήματα ασφαλείας.
Το κακόβουλο λογισμικό μπορεί να απενεργοποιεί συστήματα και στοχεύσει σε χρηματοπιστωτικά συστήματα που βρίσκονται σε συγκεκριμένες τοποθεσίες.
Όπως ανακάλυψαν οι ερευνητές από την εταιρεία ασφαλείας TrendMicro, οι hackers μετέφεραν τα κακόβουλα * .msi αρχεία μέσω spam emails. Τα κακόβουλα αρχεία περιείχαν κώδικες JScript / VBScript.
Ο κακόβουλος κώδικας JS είναι ενσωματωμένος στο αρχείο * .msi και κατεβάζει το κείμενο και άλλα αρχεία από τον Amazonaws server. Συνήθως τα αρχεία, που περιέχονται στο κακόβουλο λογισμικό, έχουν ονόματα, όπως Jesus ή dump. Το αρχείο κειμένου ονομάζεται desktop.txt, desktop και desktop.ini.
Αρχικά στέλνεται στο θύμα ένα spam mail, το οποίο περιέχει ένα κακόβουλο συνημμένο. Αν το θύμα ανοίξει το συνημμένο, τότε το σύστημά του θα μολυνθεί.
Σύμφωνα με τις έρευνες, οι hackers στοχεύουν τους χρήστες σε Βραζιλία και Πορτογαλία και κυρίως χρηματοπιστωτικούς οργανισμούς και ιδρύματα με σκοπό την απόσπαση πληροφοριών.
Οι hackers χρησιμοποιούν τα αρχεία MSI για να παρακάμψουν τις λύσεις ασφαλείας που χρησιμοποιούν οι περισσότεροι οργανισμοί. Τα αρχεία MSI «μεταμφιέζονται» σε Adobe Acrobat Reader DC και οδηγούν τους χρήστες στην πορτογαλική ιστοσελίδα.
Οι ερευνητές πιστεύουν ότι οι hackers χρησιμοποιούν διαφορετικές μεθόδους στα θύματά τους στη Βραζιλία και την Πορτογαλία.
