Κακόβουλοι παράγοντες φέρεται ότι ξεκίνησαν μια καμπάνια malvertising στο ρωσικό διαφημιστικό δίκτυο Yandex.Direct από τον Οκτώβριο του 2018, για να διαδώσουν κακόβουλο λογισμικό, που σχεδιάστηκε για να κρυπτογραφεί τα δεδομένα των θυμάτων και να κλέβει cryptocurrencies.
Η ομάδα hacking στοχεύει ρωσικές οργανώσεις, χρησιμοποιώντας κακόβουλα payloads καμουφλαρισμένα ως πρότυπα εγγράφων, τα οποία φιλοξενούνται στην πλατφόρμα φιλοξενίας κώδικα GitHub, με στόχο να κλέψουν ευαίσθητα δεδομένα που σχετίζονται με cryptocurrencies.
Όπως ανέφερε η ομάδα έρευνας της ESET στην έκθεσή της, η Yandex απενεργοποίησε την καμπάνια malvertising αφού έλαβε την ειδοποίησή της σχετικά με τις κακόβουλες διαφημίσεις που χρησιμοποιήθηκαν για να ανακατευθύνουν τα θύματα σε κακόβουλο λογισμικό.
Πώς γίνεται η διανομή των κακόβουλων προγραμμάτων
Η ανάλυση της ESET αποκάλυψε επίσης ότι οι στόχοι ανακατευθύνονταν στις σελίδες προορισμού malvertising μετά από αναζήτηση φράσεων κλειδιών όπως “download invoice template”, “claim complaint example” κτλ, που δείχνει ότι η καμπάνια στοχεύει τις εταιρικές οντότητες, προσπαθώντας να θέσει σε κίνδυνο τους υπολογιστές των υπαλλήλων τους.
Οι ερευνητές διαπίστωσαν επίσης ότι “οι εγκληματίες του κυβερνοχώρου έβαλαν τα κακόβουλα αρχεία στο χώρο αποθήκευσης του GitHub μόνο για περιορισμένο χρονικό διάστημα, πιθανότατα όσο η διαφημιστική καμπάνια ήταν ενεργή.”
Οι κακόβουλοι παράγοντες, χρησιμοποίησαν δύο αποθετήρια GitHub για να φιλοξενήσουν έξι payloads κακόβουλου λογισμικού, τα οποία συχνά άλλαζαν, με τα περισσότερα από αυτά να έχουν επίσης υπογραφεί χρησιμοποιώντας πολλαπλά code-signing certificates.
Όπως ανακαλύφθηκε από την ESET Research, η εκστρατεία Yandex.Direct χρησιμοποιήθηκε από τους επιτιθέμενους για να διανείμουν το banking Trojan Buhtrap, γνωστό και ως Ratopak [1, 2, 3, 4, 5], το RTM banking Trojan και το ClipBanker Trojan.
Μία από τις μονάδες του Buhtrap που ανιχνεύθηκε κατά την ανάλυση του κακόβουλου λογισμικού, ήταν ένα νέο Delphi-based malware και διανεμήθηκε από τον Φεβρουάριο έως τον Μάρτιο του 2019 και ονομάστηκε από τους ερευνητές του ESET Win32 / Filecoder.Buhtrap.
Το Filecoder.Buhtrap εμφανίζει ένα μήνυμα στο σύστημα που έχει επηρεάσει, μετά την κρυπτογράφηση των αρχείων και ζητάει από το θύμα να έρθει σε επαφή με τους εισβολείς χρησιμοποιώντας Bitmessage ή email για περαιτέρω οδηγίες.
Το RTM Banking Trojan, το οποίο περιγράφηκε λεπτομερώς από τις ESET και Palo Alto Networks και είναι γνωστό ότι διαθέτει δυνατότητες παρακολούθησης των τραπεζογραμματίων και των έξυπνων καρτών ανάγνωσης, καθώς και των μονάδων keylogging και των screenshots, διαδόθηκε επίσης στις αρχές Φεβρουαρίου 2019.
Ένα στέλεχος Buhtrap downloader επίσης διανεμήθηκε ως μέρος των επιθέσεων, το οποίο σε αντίθεση με τα προηγούμενα στελέχη του Buhtrap backdoor, που χρησιμοποίησαν ένα τέχνασμα DLL-loading, φορτώθηκε απευθείας στη μνήμη του συστήματος.
Σαν τελευταία πινελιά, οι κακόβουλοι παράγοντες αποφάσισαν επίσης να φιλοξενήσουν ένα στέλεχος του Anubis banking Trojan, με τη μορφή ενός εξαιρετικά συγκεχυμένου Android Application Package (APK) το οποίο δεν διανεμήθηκε μέσω της εκστρατείας malvertising.
Αυτή η εκστρατεία malvertising είναι ένα ακόμα παράδειγμα χρήσης των αποθετηρίων του GitHub από τους hackers, για να κάνουν τα payloads τους να φαίνονται αξιόπιστα και ασφαλή και επίσης για να μην ανιχνεύονται τόσο εύκολα.
Το σημαντικό είναι ότι το GitHub φαίνεται να έχει μια πολύ ικανοποιητική ομάδα υποστήριξης, η οποία ενέργησε αμέσως μόλις λάμβανε ειδοποιήσεις από τους ερευνητές ασφαλείας.
