Πρόσφατα, οι ερευνητές της εταιρείας ασφαλείας Cofense ανακάλυψαν μια νέα hacking εκστρατεία που στοχεύει υπαλλήλους ασφαλιστικών εταιρειών και βιομηχανιών λιανικής πώλησης. Οι hackers στέλνουν phishing emails στους υπαλλήλους και ισχυρίζονται ότι προέρχονται από το Υπουργείο Δικαιοσύνης. Στην πραγματικότητα, μολύνουν τον υπολογιστή του θύματος με κακόβουλο λογισμικό που έχει σχεδιαστεί για να κλέβει πληροφορίες.
Σύμφωνα με τους ερευνητές, τα phishing emails έχουν ως θέμα τη λέξη «Δικαστήριο» και φέρουν το λογότυπο του Υπουργείου Δικαιοσύνης του Ηνωμένου Βασιλείου. Τα emails αναφέρουν ότι ο παραλήπτης πρέπει να παραστεί στο δικαστήριο ως μάρτυρας (subpoena) και του ζητούν να ανοίξει έναν σύνδεσμο για να δει περισσότερες λεπτομέρειες, καθώς το δικαστήριο διατάσσει να διευθετηθεί το θέμα εντός 14 ημερών. Ωστόσο, δεν δίνονται συγκεκριμένες πληροφορίες για το θέμα της δικαστικής υπόθεσης.
Το άνοιγμα του συνδέσμου οδηγεί σε έναν cloud hosting πάροχο, ο οποίος με τη σειρά του, οδηγεί τον χρήστη τους σε ένα έγγραφο που περιέχει το «Predator The Thief», ένα κακόβουλο λογισμικό που βρίσκεται συνήθως σε underground hacking forums.
Το Predator the Thief είναι ένα κακόβουλο λογισμικό που επιτρέπει την κλοπή ονομάτων χρήστη, κωδικών πρόσβασης, δεδομένων του browser και περιεχομένου από cryptocurrency wallets. Επίσης, μπορεί να τραβήξει φωτογραφίες χρησιμοποιώντας μια web κάμερα. Το Predator the Thief εμφανίστηκε για πρώτη φορά τον Ιούλιο του 2018.
Οι hackers έχουν φροντίσει ώστε τα phishing emails να αποκρύπτουν την κακόβουλη πρόθεσή τους από τα λογισμικά ασφαλείας. Το email περιέχει ένα link για το Google Docs, το οποίο ανακατευθύνει αυτόματα τον χρήστη στο Microsoft OneDrive, το οποίο με τη σειρά του παραδίδει ένα έγγραφο Microsoft Word στο θύμα. Το έγγραφο ζητά από το θύμα να ενεργοποιήσει μακροεντολές. Αν ο χρήστης υπακούσει, γίνεται λήψη του κακόβουλου λογισμικού μέσω PowerShell.
Στη συνέχεια, το Predator the Thief συνδέεται σε έναν command-and-control server και παρέχει στον hacker μια πύλη στο μολυσμένο σύστημα. Έτσι οι επιτιθέμενοι μπορούν να κλέψουν δεδομένα κρυφά. Αφού συλλεχθούν όλα τα δεδομένα που θέλουν οι hackers, το κακόβουλο λογισμικό αυτοκαταστρέφεται κι έτσι δεν αφήνει κανένα ίχνος.
Όπως στις περισσότερες phishing επιθέσεις, έτσι και σε αυτή, οι hackers χρησιμοποίησαν ένα σοβαρό θέμα (δικαστικό θέμα) για να αναγκάσουν τα θύματα να ανοίξουν τον κακόβουλο σύνδεσμο. Ωστόσο, υπάρχει μια ένδειξη ότι κάτι δεν πάει καλά.
Το phishing email αναφέρει τη λέξη “subpoena”. Ο όρος αυτός χρησιμοποιείται συνήθως στις Ηνωμένες Πολιτείες. Το email υποτίθεται ότι προέρχεται από το Υπουργείο Δικαιοσύνης του Ηνωμένου Βασιλείου. Το δικαστικό σύστημα της Αγγλίας, όμως, δεν έχει χρησιμοποιήσει τον όρο «subpoena» από το 1999. Από τότε χρησιμοποιείται μόνο ο όρος «witness summons».
Αυτό δείχνει ότι οι δράστες προσπαθούν να εξαπατήσουν τους χρήστες χρησιμοποιώντας βρετανικά λογότυπα αλλά στην πραγματικότητα δεν είναι εξοικειωμένοι με το δικαστικό σύστημα της χώρας.
Οι χρήστες πρέπει να είναι πολύ προσεκτικοί με την ενεργοποίηση μακροεντολών και να ενημερώνονται συνεχώς σχετικά με τους κινδύνους και τις απειλές στον κυβερνοχώρο, ώστε να είναι υποψιασμένοι και να αναγνωρίζουν τις ύποπτες δραστηριότητες.
