Κυριακή, 21 Φεβρουαρίου, 23:38
Αρχική security Νέες καμπάνιες NetWire RAT χρησιμοποιούν IMG συνημμένα και διανέμουν malware

Νέες καμπάνιες NetWire RAT χρησιμοποιούν IMG συνημμένα και διανέμουν malware

Οι ερευνητές της IBM X-Force ανακάλυψαν μια νέα καμπάνια που στοχεύει οργανισμούς με ψεύτικα επαγγελματικά email τα οποία μεταφέρουν παραλλαγές του απομακρυσμένης NetWire πρόσβασης Trojan (RAT).

Το RAT είναι κρυμμένο μέσα σε ένα αρχείο IMG, το οποίο είναι μια επέκταση αρχείου που χρησιμοποιείται από το software απεικόνισης δίσκων. Δεδομένου ότι πολλά συνημμένα μπορούν να αποκλειστούν αυτόματα από τα email security controls, οι spammers συχνά επιλέγουν προσεκτικά τον τύπο των επεκτάσεων αρχείων που χρησιμοποιούν στα μηνύματα malspam και ανακατεύουν τους τύπους αρχείων που αποκρύπτουν το malware. Η ανάλυση του X-Force δείχνει ότι τα email που παρέχονται από το NetWire RAT σε αυτήν την καμπάνια αποστέλλονται από ένα μικρό αριθμό μοναδικών αποστολέων που υποτίθεται ότι βρίσκονται στη Γερμανία.

Το NetWire RAT είναι ένα κακόβουλο εργαλείο που εμφανίστηκε το 2012. Αυτό το κακόβουλο λογισμικό πολλαπλών πλατφορμών υφίσταται σε διάφορους κύκλους αναβάθμισης και εντοπίστηκε σε διαφορετικούς τύπους επιθέσεων. Το NetWire RAT μπορεί εύκολα να αγοραστεί στο Dark Web, πράγμα που σημαίνει ότι μπορεί να χρησιμοποιηθεί από οποιονδήποτε.

Δεν πρόκειται για την πρώτη φορά που το NetWire χρησιμοποιείται στις ψεύτικες επιχειρηματικές επικοινωνίες. Σε μια προηγούμενη εκστρατεία που κυκλοφορούσε τον Σεπτέμβριο του 2019, οι hackers έστελναν ψεύτικα αρχεία PDF σε δυνητικά θύματα, αναφέροντας ότι πρόκειται για εμπορικό τιμολόγιο. Το πραγματικό αρχείο ήταν ένα εκτελέσιμο αρχείο που εγκατέστησε το NetWire RAT αμέσως μόλις έγινε κλικ στο αρχείο.

NetWire

Extracting ενός RAT

Σε ένα από τα δείγματα που εξετάσαμε, ένα αρχείο IMG που ονομάζεται “Sales_Quotation_SQUO00001760.img” ήταν ένας τρόπος για τους εισβολείς να αρχειοθετήσουν το malware μέχρι να γίνει κλικ στο αρχείο. Από την στιγμή που ανοιγόταν έκανε extract ένα εκτελέσιμο αρχείο: το NetWire RAT.

Αμέσως μετά από αυτή την αρχική εκτέλεση, το malware επέμενε μέσω ενός προγραμματισμένου task, μια κοινή τακτική για πολλούς προγραμματιστές κακόβουλου λογισμικού. Τα προγραμματισμένα task επιτρέπουν στο κακόβουλο λογισμικό να ελέγχει ότι είναι ενεργό ή να κάνει επανεκκίνηση με επαναλαμβανόμενο τρόπο.

Επιπλέον, δημιουργούνται registry keys για να αποθηκεύουν τη διεύθυνση IP του command-and-control (C & C) και να αποθηκεύουν τα δεδομένα που χρησιμοποιεί το malware για να λειτουργούν στη μολυσμένη συσκευή. Η επικοινωνία με το C&C server εκτελείται μέσω της θύρας TCP 3012.

Τι είναι το NetWire RAT Up To;

Δεδομένου ότι αυτό το malware μπορεί να χρησιμοποιηθεί από οποιαδήποτε ομάδα με οποιοδήποτε κίνητρο, η απόδοση είναι μάλλον μάταιη.

Κοιτώντας σε μερικά κρυπτογραφημένα strings που βρέθηκαν στη μνήμη, εντοπίσαμε μια σειρά από strings σε μια ξένη γλώσσα, η οποία φαίνεται να είναι ινδονησιακή. Παρακάτω είναι ένα screenshot από το Google Translate που δείχνει μια πρόχειρη μετάφραση των διαφόρων αναγνωρισμένων strings. Πολλοί από αυτούς τους όρους συνδέονται είτε με ένα μήνυμα σύνδεσης, με επιλογές πληρωμής, δωρεές ή με τον όρο ” afterlife savings”:

Ο όρος αυτός μπορεί να αφορά μόνιμη ασφάλιση ζωής για λόγους συνταξιοδότησης που προσφέρεται σε ορισμένα μέρη του κόσμου.

Από τη συνολική εμφάνιση του, αυτή η καμπάνια έχει οικονομικά κίνητρα και πιθανότατα πραγματοποιείται από απατεώνες που προσπαθούν να κλέψουν τους κατόχους λογαριασμών με διάφορους τρόπους. Παρόλο που δεν έχουμε δει την πλήρη ροή μετά τη μόλυνση, μπορεί να ακολουθηθεί από απάτη τύπου 419 ή να περιλαμβάνει επίσης σελίδες social engineering ή phishing για να παρασύρει το θύμα να εισάγει τα credentials του τραπεζικού λογαριασμού του και να επιτρέπει στους εισβολείς να αναλάβουν λογαριασμούς.

Οι πρόσφατες καμπάνιες στο φυσικό περιβάλλον δείχνουν ότι το NetWire RAT δεν είναι το μοναδικό malware που παρέχεται μέσω επεκτάσεων αρχείων απεικόνισης δίσκου. Αυτό ήταν τάση στα τέλη του 2019, πιθανώς επειδή οι ίδιοι φορείς εκμετάλλευσης ανεπιθύμητων αλληλογραφίας διένειμαν RAT για διαφορετικούς φορείς απειλής.

Καταστρέφεται το λογισμικό κακόβουλου λογισμικού

Πολλές φορές, ως επαγγελματίες ασφαλείας, ακούμε για τις μεγαλύτερες και πιο επιζήμιες παραβιάσεις δεδομένων, επιθέσεις ransomware και καταστροφικές εκστρατείες, οι οποίες συχνά εκτελούνται από εξελιγμένες συμμορίες εγκλημάτων στον κυβερνοχώρο. Όμως, ενώ τα περισσότερα οικονομικά εγκληματικά εγκλήματα στον κυβερνοχώρο είναι έργο μεγαλύτερων ομάδων οργανωμένου εγκλήματος, οι μικρότερες ομάδες εξακολουθούν να ασχολούνται με τις επιχειρήσεις και έχουν ως στόχο να εισβάλουν σε τραπεζικούς λογαριασμούς και να κλέψουν χρήματα χρησιμοποιώντας εμπορικά διαθέσιμους κακόβουλους λογιστές καθ ‘όλη τη διάρκεια του έτους.

Οι δείκτες συμβιβασμού (IoC) και άλλες πληροφορίες σχετικά με τον τρόπο προστασίας των δικτύων από το NetWire RAT υπάρχουν στο IBM X-Force Exchange.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Πως να πραγματοποιήσετε μια κλήση Facetime Audio

Έχετε κουραστεί από τις κλήσεις κινητής τηλεφωνίας χαμηλής ποιότητας; Χάρη στο FaceTime, μπορείτε να πραγματοποιείτε κλήσεις υψηλής ανάλυσης αν χρησιμοποιείτε iPhone, iPad,...

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...