Το κακόβουλο λογισμικό κλοπής πληροφοριών TinyNuke, έκανε την επανεμφάνισή του με μια νέα καμπάνια που στοχεύει Γάλλους χρήστες, ξεγελώντας τους με τιμολόγια σε email που αποστέλλονται σε εταιρικές διευθύνσεις και σε άτομα που εργάζονται στον τομέα της τεχνολογίας, των κατασκευών και των επιχειρηματικών υπηρεσιών.
Δείτε επίσης: Kronos hacked: Διακοπή λειτουργίας βασικών υπηρεσιών για αρκετές εβδομάδες
Ο στόχος αυτής της καμπάνιας είναι να κλέψει διαπιστευτήρια και άλλες ιδιωτικές πληροφορίες και να εγκαταστήσει πρόσθετα ωφέλιμα φορτία σε ένα παραβιασμένο σύστημα.
Η δραστηριότητα του κακόβουλου λογισμικού TinyNuke εντοπίστηκε για πρώτη φορά το 2017, κορυφώθηκε το 2018, στη συνέχεια έπεσε σημαντικά το 2019 και σχεδόν εξαφανίστηκε το 2020.
Η παρατήρηση νέων επιθέσεων που αναπτύσσουν το συγκεκριμένο στέλεχος κακόβουλου λογισμικού το 2021 ωστόσο δεν είναι εντελώς απροσδόκητη.
Σύμφωνα με ερευνητές της Proofpoint που παρακολουθούσαν αυτές τις εκστρατείες, αυτή η επανεμφάνιση εκδηλώνεται μέσω δύο ξεχωριστών συνόλων δραστηριοτήτων, με ξεχωριστή υποδομή C2, ωφέλιμο φορτίο και προσπάθειες εξαπάτησης.
Αυτό θα μπορούσε να υποδηλώνει ότι το κακόβουλο λογισμικό χρησιμοποιείται από δύο διαφορετικούς παράγοντες, έναν που σχετίζεται με τους αρχικούς δημιουργούς του TinyNuke και έναν που συνδέεται με κακόβουλους παράγοντες που συνήθως χρησιμοποιούν εργαλεία τρίτων.
Δείτε ακόμα: Καταργήθηκαν κακόβουλα πακέτα PyPI με πάνω από 10.000 λήψεις
Οι εισβολείς παραβιάζουν νόμιμους γαλλικούς ιστότοπους, για να φιλοξενήσουν τη διεύθυνση URL ωφέλιμου φορτίου τους, ενώ τα εκτελέσιμα καλύπτονται ως αβλαβές λογισμικό. Για τις επικοινωνίες C2, οι πιο πρόσφατες καμπάνιες χρησιμοποιούν Tor, η οποία είναι η ίδια μέθοδος που χρησιμοποιείται από το 2018.
Στις τρέχουσες καμπάνιες, τα μηνύματα ηλεκτρονικού ταχυδρομείου περιλαμβάνουν διευθύνσεις URL που πραγματοποιούν λήψη αρχείων ZIP. Αυτά τα αρχεία ZIP περιέχουν ένα αρχείο JavaScript που θα εκτελεί εντολές PowerShell για λήψη και εκτέλεση του κακόβουλου λογισμικού TinyNuke.
Όσον αφορά τις δυνατότητες, το TinyNuke loader μπορεί να κλέψει διαπιστευτήρια με δυνατότητες συλλογής φόρμας και εισαγωγής ιστού για Firefox, Internet Explorer και Chrome και μπορεί επίσης να εγκαταστήσει επιπλέον ωφέλιμα φορτία.
Αν και οι συνεχιζόμενες εκστρατείες χρησιμοποιούν συγκεκριμένα δολώματα, οι κακόβουλοι παράγοντες θα μπορούσαν να ενημερώσουν τα μηνύματά τους για να παρουσιάσουν στους παραλήπτες νέα δολώματα.
Δείτε επίσης: QBot malware: Η Microsoft αναλύει τα δομικά στοιχεία των επιθέσεων
Επίσης, εάν νέοι εισβολείς χρησιμοποιούν το TinyNuke, αυτό πιθανότατα σημαίνει ότι οι αρχικοί συγγραφείς το πουλούν στο Dark Web ή ότι ο κώδικάς του μπορεί να κυκλοφορεί ανεξάρτητα από τότε που κυκλοφόρησε στο GitHub κάποια στιγμή πριν από χρόνια.
Είναι ζωτικής σημασίας να παραμείνετε σε επαγρύπνηση και να αποφύγετε να κάνετε κλικ σε ενσωματωμένα κουμπιά που οδηγούν σε ιστότοπους που φιλοξενούν το κακόβουλο συμπιεσμένο εκτελέσιμο αρχείο.
Επειδή αυτοί οι ιστότοποι φαίνονται κατά τα άλλα νόμιμοι, η λύση ασφάλειας Διαδικτύου που χρησιμοποιείτε ενδέχεται να μην σας δώσει καμία ένδειξη, επομένως συνιστάται ιδιαίτερη προσοχή.
