Εγκληματίες του κυβερνοχώρου κάνουν κατάχρηση του Microsoft Build Engine (MSBuild) για να αναπτύξουν εργαλεία απομακρυσμένης πρόσβασης (RAT) και fileless κακόβουλα λογισμικά κλοπής δεδομένων (info-stealing malware).
Δείτε επίσης: Microsoft: Χάκερς στοχεύουν αεροπορικούς οργανισμούς με νέο malware!
Το MSBuild (msbuild.exe) είναι μια open-source, νόμιμη development πλατφόρμα της Microsoft, για τη δημιουργία εφαρμογών.
Αυτό το εργαλείο μπορεί να δημιουργήσει εφαρμογές σε οποιοδήποτε σύστημα Windows, εάν παρέχεται με ένα XML schema project file, που του λέει πώς να αυτοματοποιήσει τη διαδικασία δημιουργίας (compilation, packaging, testing και deployment).
 για να αναπτύξουν εργαλεία RAT και fileless info-stealing malware){kind=link}
Όπως παρατήρησε η ερευνητική ομάδα της Anomali, τα κακόβουλα MSBuild project files που παραδόθηκαν σε αυτήν την hacking καμπάνια, ομαδοποίησαν κωδικοποιημένα εκτελέσιμα αρχεία και shellcode που οι εγκληματίες χρησιμοποίησαν για την εισαγωγή των τελικών payloads στη μνήμη των πρόσφατων spawned processes.
Δείτε επίσης: Teabot: Το νέο Android malware στοχεύει τράπεζες στην Ευρώπη!
“Ενώ δεν καταφέραμε να προσδιορίσουμε τη μέθοδο διανομής των αρχείων .proj, ο στόχος αυτών των αρχείων ήταν να εκτελέσουν είτε το Remcos είτε το RedLine Stealer“, ανέφεραν οι αναλυτές της Anomali.
Κλοπή credentials και άλλων ευαίσθητων πληροφοριών
Οι επιτιθέμενοι άρχισαν να εγκαθιστούν τα Remcos RAT, Quasar RAT και RedLine Stealer payloads στους υπολογιστές των θυμάτων τους τον περασμένο μήνα.
Μόλις εγκατασταθούν τα info-stealing RAT σε ένα στοχευμένο σύστημα, μπορούν να χρησιμοποιηθούν για την καταγραφή πληκτρολογήσεων, την κλοπή credentials, τη λήψη screenshots, ενώ μπορούν ακόμα και να απενεργοποιήσουν λογισμικά προστασίας από ιούς, να μείνουν για πολύ καιρό στα συστήματα και να πάρουν τον πλήρη έλεγχο των συσκευών απομακρυσμένα.
Τα info-stealing malware σαρώνουν για web browsers, εφαρμογές ανταλλαγής μηνυμάτων και VPN και cryptocurrency software για να κλέψουν τα credentials των χρηστών.
Το RedLine Stealer μπορεί, επίσης, να συλλέξει πληροφορίες συστήματος, cookies και πληροφορίες crypto wallet από configuration files και app data που είναι αποθηκευμένα στις συσκευές των θυμάτων.
Η παράδοση fileless malware βοηθά στην αποφυγή του εντοπισμού
Η χρήση του νόμιμου εργαλείου MSBuild της Microsoft επιτρέπει στους εισβολείς να αποφεύγουν τον εντοπισμό, ενώ φορτώνουν τα κακόβουλα payloads τους απευθείας στη μνήμη ενός στοχευμένου υπολογιστή.
Δείτε επίσης: Συνεργασία Cuba ransomware με Hancitor malware για spam-επιθέσεις
Αυτές οι επιθέσεις δεν ανιχνεύονται ή εντοπίζονται από ένα πολύ μικρό αριθμό λογισμικών προστασίας από κακόβουλο λογισμικό.
Σύμφωνα με μια έκθεση ασφαλείας, η παράδοση fileless malware αυξήθηκε σημαντικά από το 2020.
Η Anomali τόνισε ότι οι εγκληματίες χρησιμοποιούσαν fileless malware για να παρακάμψουν συστήματα ασφαλείας.
“Αυτή η εκστρατεία υπογραμμίζει ότι το να βασίζεται κάποιος μόνο σε λογισμικό προστασίας από ιούς δεν επαρκεί για την άμυνα στον κυβερνοχώρο“.
Πηγή: Bleeping Computer