Οι ερευνητές που εντόπισαν το string “Salfram” λένε ότι οι καμπάνιες του χρησιμοποιούν τον ίδιο κρυπτογράφο για να διανέμουν κακόβουλα malware όπως τα ZLoader, SmokeLoader και AveMaria.
Εντοπίστηκαν καμπάνιες διανομής malware που πραγματοποιούνται μέσω email και στοχεύουν επιχειρήσεις με malware payloads όπως τα Gozi ISFB, ZLoader, SmokeLoader και AveMaria, λένε οι ερευνητές.
Η ομάδα της Cisco Talos παρακολουθεί τους εισβολείς που πραγματοποιούν αυτές τις καμπάνιες τους τελευταίους μήνες και αναφέρει ότι χρησιμοποιούν διάφορες τεχνικές που έχουν σχεδιαστεί για να αποφεύγουν τον εντοπισμό και να μεγιστοποιούν την αποτελεσματικότητα τους. Στις περισσότερες περιπτώσεις, οι εισβολείς ξεκινούν την επικοινωνία με τα πιθανά θύματα χρησιμοποιώντας τις φόρμες επικοινωνίας που υπάρχουν στον ιστότοπο του στοχευμένου οργανισμού.
“Αυτό έχει ως αποτέλεσμα οι επικοινωνίες να φαίνονται ότι προέρχονται από νόμιμες πηγές με τους hackers να καταφέρνουν να αποφύγουν ορισμένους μηχανισμούς ασφάλειας των email”, εξηγούν οι ερευνητές.
Υπάλληλος Καταγγέλλει την Apple για Παρακολούθηση
Το Europa Clipper της NASA οδεύει στον Δία
Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη
Οι εισβολείς ισχυρίζονται ότι είναι οι κάτοχοι των πνευματικών δικαιωμάτων εικόνων που βρήκαν στον στοχευμένο ιστότοπο. Τα email είναι κάπως προσαρμοσμένα και περιλαμβάνουν το domain του οργανισμού ως τον ιστότοπο με το περιεχόμενο που προστατεύεται από πνευματικά δικαιώματα, καθώς και ένα hyperlink στον οποίο το θύμα καλείται να κάνει κλικ. Στα περισσότερα email, το hyperlink οδηγεί σε ένα κακόβουλο αρχείο που φιλοξενείται στο Google Drive. Οι ερευνητές υπογραμμίζουν ότι η χρήση μιας νόμιμης φόρμας επικοινωνίας μπορεί να βοηθήσει τους hackers να αποφύγουν τις λειτουργίες ασφαλείας που υπάρχουν στα email.
Αυτά τα έγγραφα περιέχουν μακροεντολές που ξεκινούν τη διαδικασία μόλυνσης, στην οποία εκτελείται κακόβουλο payload στο στοχευμένο σύστημα. Ενώ οι εισβολείς έχουν παραδώσει πολλές διαφορετικές οικογένειες malware σε κάθε καμπάνια, όλοι έχουν τον ίδιο crypter σε κάθε αρχικό payload. Η παρουσία του Salfram, διευκόλυνε τους ερευνητές να παρακολουθούν τη δραστηριότητα με την πάροδο του χρόνου, τονίζοντας όμως το γεγονός ότι ο crypter συνεχώς αναπτύσσεται για να κάνει την ανάλυση πιο δύσκολη.