Ερευνητές ασφαλείας αποκάλυψαν μια εξελιγμένη παγκόσμια εκστρατεία ηλεκτρονικού ψαρέματος (phishing) που διασπείρει τρεις νέες οικογένειες malware, οι οποίες εμφανίστηκαν τον περασμένο Δεκέμβριο.
Η Mandiant παρατήρησε δύο κύματα της phishing εκστρατείας η οποία ξεκίνησε στις 2 Δεκεμβρίου και είχε στόχο σχεδόν 50 οργανισμούς σε όλο τον κόσμο. Η απειλητική ομάδα με τα οικονομικά κίνητρα αναφέρεται ως UNC2529.
Δείτε επίσης: Hackers στοχεύουν χρήστες του Passwordstate με νέο malware
“Με βάση την αξιοσημείωτη υποδομή που χρησιμοποιήθηκε, τα προσαρμοσμένα ψεύτικα θέλγητρα και την επαγγελματικά κωδικοποιημένη εξειδίκευση του malware, αυτός ο απειλητικός παράγοντας φαίνεται έμπειρος”, σημείωσε η Mandiant.
Η ομάδα φαίνεται να έχει πάρει χρόνο της για να δημιουργήσει τα email, ώστε να φαίνονται νόμιμα τα οποία στάλθηκαν σε μεμονωμένους παραλήπτες. Επίσης χρησιμοποίησε δεκάδες domain για να υποστηρίξει τις προσπάθειές της.
Δείτε επίσης: Ερευνητές ανακάλυψαν Linux malware που μόλυνε επί χρόνια συστήματα!
Τα τρία νέα στελέχη malware που προσδιορίστηκαν από την Mandiant έχουν ονομαστεί “Doubledrag”, “Doubledrop” και “Doubleback”. Η ομάδα UNC2529 προφανώς χρησιμοποίησε τεχνικές heavy obfuscation και malware για να τα κρατήσει κρυμμένα.
Το Doubledrag είναι ένα πολύ ασαφές πρόγραμμα λήψης JavaScript. Το Doubledrop είναι ένα memory-only dropper δεύτερου σταδίου που περιέχει ένα script PowerShell που κάνει launch ένα backdoor στη μνήμη. Αυτό το backdoor είναι το Doubleback.
Η phishing καμπάνια στοχεύει κυρίως αμερικανικές οργανώσεις – αντιπροσωπεύοντας το 74% των θυμάτων στην πρώτη φάση και το 68% στη δεύτερη – αλλά ορισμένοι στόχοι βρίσκονται και στις περιοχές EMEA (Ευρώπη, Μέση Ανατολή και Αφρική) και APAC (Ανατολική Ασία, Νότια Ασία, Νοτιοανατολική Ασία και Ωκεανία).
Δείτε επίσης: Microsoft Defender for Endpoint: Μπλοκάρει cryptojacking malware μέσω Intel TDT
Δυστυχώς, το Doubleback κρίθηκε από την Mandiant ως “έργο σε εξέλιξη” και πιθανότατα θα χρησιμοποιηθεί ξανά σε μελλοντικές εκστρατείες της UNC2529.
Πηγή πληροφοριών: infosecurity-magazine.com
