Σύμφωνα με στοιχεία, που έχουν συλλέξει ερευνητές της Kaspersky, μια ιρανική hacking ομάδα πραγματοποιεί νέες επικίνδυνες επιθέσεις. Οι hackers χρησιμοποιούν ένα PowerShell Script το οποίο βοηθά στην εγκατάσταση του Poison Frog backdoor στις συσκευές των θυμάτων. Πώς γίνεται αυτό; Το κακόβουλο λογισμικό «μεταμφιέζεται» στη νόμιμη εφαρμογή Cisco AnyConnect και δεν γίνεται αντιληπτό ως επικίνδυνο. Η hacking ομάδα από το Ιράν είναι η γνωστή OilRig.
To Poison Frog είναι ένα από τα πιο ισχυρά Backdoor που χρησιμοποιούν οι συγκεκριμένοι hackers. Η ομάδα το έχει χρησιμοποιήσει πολλές φορές για την πραγματοποίηση επιθέσεων στον κυβερνοχώρο.
Οι ερευνητές της Kaspersky διαπίστωσαν ότι τώρα οι hackers χρησιμοποιούν ένα νέο δείγμα του Poison Frog που είναι ένα εκτελέσιμο αρχείο PE, γραμμένο σε C #, και η δουλειά του είναι να εγκαθιστά στις συσκευές των θυμάτων το PowerShell script που περιέχει backdoor.
Επίσης, οι ερευνητές βρήκαν και ένα δεύτερο PowerShell Script, που λειτουργεί με τον ίδιο τρόπο και περιέχει DNS και HTTP backdoor (Poison Frog HTTP backdoor).
Διαδικασία εγκατάστασης του Poison Frog backdoor
Οι hackers της OilRig έχουν σκεφτεί έναν έξυπνο τρόπο για να εγκαταστήσουν το κακόβουλο λογισμικό στις συσκευές των θυμάτων, χωρίς αυτό να γίνει αντιληπτό. Παρουσιάζουν το κακόβουλο λογισμικό ως τη νόμιμη εφαρμογή Cisco AnyConnect.
Σύμφωνα με τους ερευνητές της Kaspersky, οι hackers έχουν κάνει ένα μικρό λάθος, με αποτέλεσμα να εμφανίζεται συνεχώς ένα pop up στην οθόνη, το οποίο δεν συμβαίνει με τη νόμιμη εφαρμογή.
Το παραπάνω μήνυμα βοηθά τους hackers να εξαπατήσουν τους χρήστες και να τους κάνουν να πιστέψουν ότι υπάρχει κάποιο πρόβλημα με την εφαρμογή ή την πρόσβασή τους στο διαδίκτυο. Στην πραγματικότητα, οι hackers έχουν καταφέρει να εγκαταστήσουν το Poison Frog backdoor.
