Οι ερευνητές ανακάλυψαν μια μαζική καμπάνια διανομής malware που χρησιμοποιεί τα γνωστά πολιτικά πρόσωπα στις ΗΠΑ, συμπεριλαμβανομένου του προέδρου Donald Trump και της Hillary Clinton, σε μια σειρά από ransomware, lockers οθόνης, RATs και άλλες κακόβουλες εφαρμογές.
Μια ποικιλία κακόβουλων εφαρμογών που αποκαλύφθηκαν με αυτήν την καμπάνια και αναπτύχθηκαν για να μολύνουν τα θύματα με ransomware, να εμφυτεύσουν ένα backdoor σε δίκτυα οργάνωσης με πολιτικά κίνητρα.
Οι ερευνητές πιστεύουν ότι οι δημιουργοί του malware υποκινούνται από τις πολιτικές πεποιθήσεις τους και μετατρέπουν την διανομή malware με διάφορες μορφές.
Διαδικασία μόλυνσης από Malware
Αρχικά, οι επιτιθέμενοι παραδίδουν το malware μέσω καμπάνιας email malspam με ψεύτικο περιεχόμενο που σχετίζεται με ειδοποιήσεις τραπεζικών απατών και προέρχεται από τον διευθυντή της Global Risk για την εταιρεία πιστωτικών καρτών Visa.
Τα malspam emails έρχονται με ένα κακόβουλο συνημμένο που περιέχει αρχεία RTF και αφού ανοίξει, τα αρχεία RTF ανακτούν ένα εκτελέσιμο από το server που ελέγχεται από τον εισβολέα με χρήση του DDE (Dynamic Data Exchange).
Η διαδικασία της μόλυνσης ξεκινά όταν εκτελείται η PE32 και οι συγγραφείς κακόβουλου λογισμικού καταρτίζουν μια λίστα με διάφορα ονόματα, ορολογίες και εικονογραφίες που έχει δημιουργήσει headlines σε όλο το πολιτικό φάσμα. Υπάρχουν πολλά δείγματα κακόβουλου λογισμικού που αποκαλύφθηκαν, αναλύθηκαν από ερευνητές και λήφθηκαν δείγματα από διάφορα αποθετήρια malware.
Ψεύτικα Ransomware και Screenlockers
Αρκετά δείγματα χρησιμοποιούνται για να μολύνουν τον στόχο, για παράδειγμα με μια εικονογραφία που σχετίζεται με γνωστά πολιτικά πρόσωπα όπως ο Donald Trump με ψεύτικα ransomware και lockers οθόνης που δεν κρυπτογραφούν κανένα αρχείο.
Τυπικά, τα θύματα πιστεύουν ότι το σύστημά τους που μολύνθηκε με ransomware και εξαπατώνται με στόχο να πληρώσουν λύτρα σε μια προσπάθεια να ανακτήσουν την πρόσβαση στα δεδομένα τους.
Ένα theme locker με θέμα τον Donald Trump, ζητά από τα θύματα να λάβουν σαφή δράση, και όταν κάνουν κλικ σε αυτό, ξαφνικά μετατρέπεται σε locked οθόνη. Εάν τα θύματα κάνουν ξανά κλικ στο κουμπί, τότε το φόντο θα συνεχίσει να αλλάζει.
RAT – Remote Access Trojan
Οι ερευνητές αποκάλυψαν επίσης μια άλλη πολιτική καμπάνια RAT που παρέδιδαν Neshta και NJRAT τα οποία χρησιμοποιούν θέματα και ασυνήθιστες εικόνες decoy που ονομάζουν “Papa-Putin [.] Exe” για να παραδώσουν το payload στο μηχάνημα του θύματος.
Οι ερευνητές διαπίστωσαν ότι αυτή η καμπάνια χρησιμοποιεί επίσης κακόβουλα λογιστικά φύλλα του Excel ως έγγραφα lure που περιέχουν ενσωματωμένο αρχείο SWF που αναπτύχθηκε για να μολύνει τα θύματα με το ROKRAT.
Crypters/Packers
Αυτή η μαζική εκστρατεία προωθεί επίσης την κρυπτογράφηση με εικονογραφία με το όνομα “Trump Crypter” που βοηθά στην αποφυγή ανίχνευσης ιών μέσω κρυπτογράφησης του κακόβουλου κώδικα που συσχετίζεται με δυαδικά αρχεία κακόβουλου λογισμικού.
Εκτός από αυτό το κακόβουλο λογισμικό, οι ερευνητές βρήκαν επίσης έναν μεγάλο αριθμό «τυχαίων» πολιτικά σχετικών εφαρμογών λογισμικού.
Το περίεργο κομμάτι του λογισμικού που βρέθηκε σε αυτή την καμπάνια, το οποίο ονομάζεται «Trump’s Cyber Security Firewall ™», φαίνεται ότι επικεντρώνεται στη δυσκολία των συστημάτων των Windows με πολιτικό κίνητρο.
“Μία από τις απροσδόκητες πτυχές της έρευνας ήταν η παρουσία των lures που έφεραν στο παρελθόν κακόβουλα προγράμματα που συνδέονταν με πολλαπλές επιθέσεις κρατών-μελών δήλωσε ο Talos.
