Χάκερς πλαστογράφησαν την Truist Bank, την έκτη μεγαλύτερη εταιρεία χαρτοφυλακίου των ΗΠΑ, σε μια εκστρατεία spear-phishing που προσπαθούσε να «μολύνει» τους παραλήπτες με trojan RAT malware. Το FBI ανέφερε στη σχετική του ειδοποίηση τα ακόλουθα: «Οι κακόβουλοι παράγοντες πλαστογράφησαν το χρηματοπιστωτικό ίδρυμα μέσω καταχωρημένων domains, θεμάτων email και μιας εφαρμογής – που όλα φαίνεται να σχετίζονται με το ίδρυμα.»
Διαβάστε επίσης: FBI και CISA εξέδωσαν ειδοποίηση για το DarkSide ransomware
Το FBI εξέδωσε την ειδοποίηση σε συνεργασία με τη CISA. Αυτή η ειδοποίηση έχει ως στόχο να παράσχει στους επαγγελματίες ασφαλείας και τους διαχειριστές δικτύου τους δείκτες συμβιβασμού που απαιτούνται για τον εντοπισμό και τον αποκλεισμό τέτοιων επιθέσεων.
Σε μια από τις επιθέσεις που είχαν ως στόχο μια εταιρεία ανανεώσιμων πηγών ενέργειας τον Φεβρουάριο του 2021, τα phishing emails έδιναν εντολή στον στόχο να κατεβάσει μια κακόβουλη εφαρμογή Windows που «μιμούταν» το νόμιμο Truist Financial SecureBank app και υποτίθεται ότι έπρεπε να ολοκληρώσει τη διαδικασία πίσω από δάνειο 62 εκατομμυρίων δολαρίων.
Το FBI επεσήμανε τα εξής: «Το δόλιο ποσό δανείου ευθυγραμμιζόταν με το επιχειρηματικό μοντέλο του θύματος. Το phishing email περιείχε επίσης έναν σύνδεσμο για τη λήψη της εφαρμογής, ένα username και ένα password για πρόσβαση. Το phishing email φαινόταν να προέρχεται από χρηματοπιστωτικό ίδρυμα με έδρα το Ηνωμένο Βασίλειο, που ανέφερε ότι το δάνειο του χρηματοπιστωτικού ιδρύματος των ΗΠΑ προς το θύμα επιβεβαιώθηκε και ότι θα μπορούσε να έχει πρόσβαση σε αυτό μέσω μιας εφαρμογής που φαινόταν να εκπροσωπεί το χρηματοπιστωτικό ίδρυμα των ΗΠΑ.»
Δείτε ακόμη: Teabot: Το νέο Android malware στοχεύει τράπεζες στην Ευρώπη!
Οι χάκερς φιλοξένησαν την fake εφαρμογή των Windows σε ένα «δόλιο» domain που καταχωρήθηκε από τους κακόβουλους παράγοντες πριν από την επίθεση και την πλαστογράφηση της Truist.
Άλλα χρηματοπιστωτικά ιδρύματα των ΗΠΑ και του Ηνωμένου Βασιλείου (π.χ. MayBank, FNB America και Cumberland Private) φαίνεται ότι έχουν επίσης πλαστογραφηθεί σε αυτήν την εκστρατεία spear-phishing.
Για να αυξήσουν το ποσοστό επιτυχίας των επιθέσεων τους, οι χάκερς χρησιμοποίησαν ένα malware που δεν εντοπίζεται προς το παρόν από τις anti-malware μηχανές του VirusTotal. Το malware που αναπτύσσεται αφότου οι παραλήπτες κατεβάσουν και εγκαταστήσουν το κακόβουλο εκτελέσιμο πρόγραμμα που υπάρχει στα spear-phishing emails, συνδέεται με το secureportal(.)online domain.
Πρόταση: Europol: Κατέστειλε εγκληματικό δίκτυο που προκάλεσε απώλειες €30 εκατομμυρίων
Όπως αναλύεται περαιτέρω στη σελίδα του VirusTotal για το δείγμα malware που μοιράζεται το FBI, οι χάκερς μπορούν να χρησιμοποιήσουν το malware για να καταγράψουν πληκτρολογήσεις και να τραβήξουν screenshots από τις οθόνες των θυμάτων.
Σύμφωνα με το VirusTotal, ανάμεσα στις δυνατότητες του malware περιλαμβάνονται οι ακόλουθες:
- Κλιμάκωση προνομίων
- Χειρισμός μητρώου συστήματος
- Τράβηγμα screenshots
- Άκουσμα της εισερχόμενης επικοινωνίας
- Εκτέλεση keylogger
- File downloader/dropper
Οι fake εφαρμογές που χρησιμοποιούνται ως «δόλωμα» κατά την εκτέλεση κακόβουλης δραστηριότητας, είναι μια γνωστή τακτική που χρησιμοποιούν διάφορες hacking ομάδες (π.χ. η hacking ομάδα “Lazarus”).
Πηγή πληροφοριών: bleepingcomputer.com
