Ερευνητές ασφαλείας της SafeBreach Labs έχουν εντοπίσει μια ιρανική ομάδα απειλών, που κλέβει credentials για Google και Instagram accounts, που ανήκουν κυρίως σε στόχους που μιλούν τη διάλεκτο Farsi. Οι hackers κλέβουν τα Google και Instagram credentials χρησιμοποιώντας ένα PowerShell-based stealer (που έχει ονομαστεί από τους ερευνητές PowerShortShell) και αξιοποιώντας ένα Microsoft MSHTML RCE bug.
Δείτε επίσης: Malware προσπαθεί να εκμεταλλευτεί το νέο Windows Installer zero-day
Το info stealer χρησιμοποιείται επίσης για παρακολούθηση του Telegram και για συλλογή πληροφοριών συστήματος από παραβιασμένες συσκευές. Αυτά τα στοιχεία αποστέλλονται σε servers που ελέγχονται από τον επιτιθέμενο, μαζί με τα κλεμμένα Google και Instagram credentials.
Σύμφωνα με την ομάδα SafeBreach Labs, οι επιθέσεις (που αναφέρθηκαν τον Σεπτέμβριο στο Twitter) ξεκίνησαν τον Ιούλιο ως spear-phishing emails. Στοχεύουν χρήστες Windows με κακόβουλα συνημμένα Winword, που εκμεταλλεύονται ένα Microsoft MSHTML RCE bug (CVE-2021-40444).
Το PowerShortShell stealer payload εκτελείται από ένα DLL, το οποίο έχει γίνει λήψη σε παραβιασμένα συστήματα. Το PowerShell script αρχίζει να συλλέγει δεδομένα και screen snapshots και να τα στέλνει στον επιτιθέμενο.
“Σχεδόν τα μισά από τα θύματα βρίσκονται στις Ηνωμένες Πολιτείες. Με βάση το περιεχόμενο του εγγράφου Microsoft Word και τα δεδομένα που συλλέχθηκαν, υποθέτουμε ότι τα θύματα μπορεί να είναι Ιρανοί που ζουν στο εξωτερικό και μπορεί να θεωρούνται ως απειλή για το ισλαμικό καθεστώς του Ιράν“, δήλωσε ο Tomer Bar, Διευθυντής Έρευνας Ασφαλείας στη SafeBreach Labs.
Δείτε επίσης: Οι χάκερ αναπτύσσουν Linux malware σε e-commerce servers
“Ο επιτιθέμενος μπορεί να συνδέεται με το ισλαμικό καθεστώς του Ιράν, καθώς η παρακολούθηση του Telegram είναι χαρακτηριστική των παραγόντων απειλής του Ιράν όπως οι Infy, Ferocious Kitten και Rampant Kitten“.
Το CVE-2021-40444 RCE σφάλμα που επηρεάζει το MSTHML rendering engine του IE έχει αξιοποιηθεί σε επιθέσεις από τις 18 Αυγούστου. Δύο εβδομάδες μετά, η Microsoft εξέδωσε ένα security advisory με μερική λύση για το πρόβλημα, ενώ λίγο αργότερα κυκλοφόρησε ένα κανονικό patch για τη διόρθωση του σφάλματος.
Πιο πρόσφατα, το σφάλμα χρησιμοποιήθηκε από τη συμμορία ransomware Magniber για την κρυπτογράφηση των συσκευών των θυμάτων.
Η Microsoft είπε επίσης ότι πολλοί παράγοντες απειλών, συμπεριλαμβανομένων των συμμοριών ransomware, έχουν εκμεταλλευτεί αυτό το MSHTML RCE σφάλμα με κακόβουλα έγγραφα του Office που παραδίδονται μέσω επιθέσεων phishing.
Δείτε επίσης: FBI: Προειδοποιεί για brand phishing που στοχεύει πελάτες υψηλού προφίλ
Δεν προκαλεί έκπληξη το γεγονός ότι όλο και περισσότεροι εγκληματίες του κυβερνοχώρου χρησιμοποιούν CVE-2021-40444 exploits, αφού οι φορείς απειλών άρχισαν να μοιράζονται tutorials και proof-of-concept exploits σε hacking forums, ακόμη και πριν επιδιορθωθεί το σφάλμα.
Αυτό πιθανότατα επέτρεψε σε άλλους παράγοντες και ομάδες απειλών να αρχίσουν να εκμεταλλεύονται το σφάλμα για δικές τους επιθέσεις.
Πηγή: Bleeping Computer