Όπως προειδοποιεί η Microsoft, μία πρόσφατα ανακαλυφθείσα κακόβουλη καμπάνια, στοχεύει τα συστήματα των θυμάτων της, προκειμένου να διαδώσει το διαβόητο FlawedAmmmy RAT απευθείας στη μνήμη.
Το FlawedAmmyy είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT), το οποίο δίνει τη δυνατότητα στους επιτιθέμενους να αποκτήσουν πλήρη πρόσβαση στα μηχανήματα των θυμάτων τους και να κινηθούν πλευρικά σε ένα δίκτυο.
Το Trojan μπορεί να υποκλέψει σημαντικές πληροφορίες από ένα σύστημα, όπως αρχεία και διαπιστευτήρια σύνδεσης, να βγάλει screenshots, ακόμα και να επιτρέψει σε έναν hacker να έχει πρόσβαση στην κάμερα του υπολογιστή του θύματος.
Ο κακόβουλος παράγοντας, με τον οποίο σχετίζονται παλιότερες καμπάνιες που προσπάθησαν να αναπτύξουν αυτό το malware, είναι ο επονομαζόμενος TA505, ο οποίος είναι περισσότερο γνωστός για τη διανομή του Dridex banking Trojan και του ransomware Locky.
Σύμφωνα με τις αναφορές της Microsoft, η επίθεση ξεκινάει με την αποστολή κακόβουλων emails, που περιέχουν συνημμένα με τη μορφή .xls και περιεχόμενο στα Κορεάτικα.
Μόλις ο χρήστης ανοίξει το αρχείο, ξεκινάει αυτόματα μια λειτουργία μακροεντολών για να εκτελέσει το νόμιμο εργαλείο msiexec.exe, το οποίο με τη σειρά του κάνει λήψη ενός αρχείου MSI.
Μέσα στο συγκεκριμένο αρχείο MSI, οι επιτιθέμενοι «κρύβουν ένα εκτελέσιμο, σχεδιασμένο να αποκρυπτογραφεί και να εκτελεί ένα άλλο εκτελέσιμο αρχείο στη μνήμη μόλις αυτό ανοίξει.
“Αυτό το εκτελέσιμο αρχείο μεταφορτώνει και αποκρυπτογραφεί ένα άλλο αρχείο, wsus.exe, το οποίο υπογράφετε επίσης ψηφιακά. Το wsus.exe αποκρυπτογραφεί και τρέχει το τελικό payload απευθείας στη μνήμη. Το τελικό payload είναι το Trojan FlawedAmmyy” εξηγεί η Microsoft Security Intelligence σε ένα tweet της.
Νωρίτερα αυτό το μήνα, η Trend Micro έκανε αναφορά σε εκστρατείες του TA505, οι οποίες στοχεύουν διάφορες χώρες της Λατινικής Αμερικής και της Ασίας με το FlawedAmmyy RAT και άλλα RATs, αποκαλύπτοντας ότι ο ίδιος μηχανισμός μόλυνσης έχει χρησιμοποιηθεί για πάνω από δύο μήνες.
Στην πραγματικότητα, ο κακόβουλος παράγοντας χρησιμοποιεί backdoors όπως το FlawedAmmyy, το Remote Manipulator (RMS), το ServHelper και άλλα για περισσότερο από 6 μήνες.
, το οποίο δίνει τη δυνατότητα στους επιτιθέμενους να αποκτήσουν πλήρη){kind=link}