Ένα νέο πρόγραμμα λήψης, που αποφεύγει τις τεχνικές ανίχνευσης και χρησιμοποιεί το Microsoft SQL για την διάδοση κακόβουλων payloads ανακαλύφθηκε πρόσφατα από ερευνητές ασφαλείας.
Το πρόγραμμα ονομάζεται WhiteShadow και μεταδίδεται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου με κακόβουλους συνδέσμους ή συνημμένα έγγραφα Microsoft Word και Excel.
Πώς λειτουργεί;
Το κακόβουλο λογισμικό ανακαλύφθηκε από τους ερευνητές της Proofpoint, οι οποίοι δημοσίευσαν μια έκθεση που περιγράφει λεπτομερώς την λειτουργία του.
Όταν το θύμα ανοίγει το κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου και αποκτά πρόσβαση σε συνημμένα με μακροεντολές, τα κακόβουλα payloads μολύνουν το σύστημά του.
Αυτό το κακόβουλο λογισμικό αποθηκεύεται ως κωδικοποιημένες συμβολοσειρές ASCII στη βάση δεδομένων.
Το WhiteShadow χρησιμοποιεί ένα μεγάλο εύρος σειρών κακόβουλου λογισμικού που έχουν ληφθεί από τον Microsoft SQL Server, ο οποίος βρίσκεται υπό τον έλεγχο των εισβολέων.
Το κακόβουλο πρόγραμμα παρουσιάστηκε για πρώτη φορά τον Αύγουστο, ακολουθούμενο από πολλαπλές καμπάνιες που το χρησιμοποιούσαν για επιθέσεις.
Οι πρώτες καμπάνιες δεν είχαν κανένα τρόπο για να αποφύγουν την ανίχνευση, αλλά οι μεταγενέστερες περιλάμβαναν μεθόδους όπως code obfuscation και intentional misspelling of variables. Αυτό έγινε πιθανώς για να αποφευχθεί η αυτόματη ανίχνευση.
Οι περισσότερες από τις καμπάνιες WhiteShadow χρησιμοποιήθηκαν για να παραδώσουν το κακόβουλο λογισμικό Crimson.
Τα στελέχη του Keylogger, όπως το Orion Logger, το Remcos και το Nanocore, ήταν μεταξύ των άλλων κακόβουλων προγραμμάτων που μεταδόθηκαν σε αυτές τις εκστρατείες.
Πώς να προστατευτείτε;
Οι ερευνητές συνιστούν οι οργανισμοί να παρακολουθούν τα εισερχόμενα email και την εξερχόμενη κυκλοφορία στη θύρα TCP 1433. Η θύρα πρέπει είτε να αποκλείεται είτε να έχει περιορισμένη ρύθμιση παραμέτρων ACL στο τείχος προστασίας.
Στην έκθεση αναφέρονται επίσης τα Indicators of Compromise (IOC) για να βοηθήσουν τους οργανισμούς να εξασφαλίσουν την ανίχνευση αυτού του κακόβουλου λογισμικού.
