Από τον Δεκέμβριο του 2021, παρατηρείται μια νέα τάση στις phishing εκστρατείες: αυξημένη χρήση κακόβουλων PowerPoint αρχείων με σκοπό τη διανομή διαφόρων τύπων malware, συμπεριλαμβανομένων των RAT trojans και info-stealers (trojans που επιτρέπουν την απομακρυσμένη πρόσβαση και την κλοπή πληροφοριών αντίστοιχα).
Σύμφωνα με το Bleeping Computer, μια έκθεση από το Threat Labs της Netskope αναφέρει ότι οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν αρχεία PowerPoint σε συνδυασμό με νόμιμες υπηρεσίες cloud που φιλοξενούν τα malware payloads.
Δείτε επίσης: Cryptocurrency token rug pulls: Χάκερ κάνουν hijack έξυπνα συμβόλαια
Τα malware που αναπτύχθηκαν στη phishing εκστρατεία που παρατηρήθηκε, είναι το Warzone (γνωστό και ως AveMaria) και το AgentTesla, δύο ισχυρά RAT και info-stealers που στοχεύουν πολλές εφαρμογές. Οι ερευνητές παρατήρησαν και την εγκατάσταση malware που κλέβει cryptocurrencies.
Hackers μολύνουν συσκευές Windows με malware
Το κακόβουλο συνημμένο PowerPoint που βρίσκεται μέσα σε phishing emails, περιέχει obfuscated macro που εκτελείται μέσω ενός συνδυασμού PowerShell και MSHTA. Και τα δύο είναι ενσωματωμένα εργαλεία των Windows.
Στη συνέχεια, το VBS script γίνεται de-obfuscated και προσθέτει νέα Windows registry entries για persistence, οδηγώντας στην εκτέλεση δύο scripts. Το πρώτο ανακτά το AgentTesla από μια εξωτερική διεύθυνση URL και το δεύτερο απενεργοποιεί το Windows Defender.
Επιπλέον, το VBS δημιουργεί ένα scheduled task που εκτελεί ένα script κάθε ώρα, το οποίο φέρνει ένα πρόγραμμα κλοπής cryptocurrency (PowerShell cryptocurrency stealer) από ένα Blogger URL.
Malware payloads: AgentTesla, Warzone, crypto-stealer
Το AgentTesla είναι ένα RAT (trojan απομακρυσμένης πρόσβασης) που βασίζεται σε .NET και μπορεί να κλέψει κωδικούς πρόσβασης του προγράμματος περιήγησης και περιεχόμενα του clipboard, να καταγράψει πληκτρολογήσεις κ.λπ.
Δείτε επίσης: FBI: Κακόβουλα QR codes μπορούν να κλέψουν τα χρήματά σας
Το δεύτερο malware payload που παραδόθηκε στη phishing καμπάνια με τα κακόβουλα PowerPoint, είναι το Warzone, ένα άλλο RAT για το οποίο η Netskope δεν έδωσε πολλές λεπτομέρειες.
Τέλος, το πρόγραμμα κλοπής cryptocurrencies ελέγχει για τον εντοπισμό crypto wallets και συναλλαγών. Εάν βρεθεί κάτι, αντικαθιστά τη διεύθυνση του παραλήπτη με μια διεύθυνση που βρίσκεται υπό τον έλεγχο του hacker, ώστε να γίνει η κλοπή των cryptos.
Το malware υποστηρίζει Bitcoin, Ethereum, XMR, DOGE και πολλά άλλα. Περισσότερες πληροφορίες δείτε εδώ.
PowerPoint: Χρησιμοποιείται όλο και πιο συχνά σε phishing καμπάνιες
Τον Δεκέμβριο του 2021, η Fortinet ανέφερε μια παρόμοια phishing εκστρατεία, η οποία χρησιμοποιούσε, επίσης, αρχεία PowerPoint για τη διανομή του Agent Tesla.
Αυτός ο τύπος αρχείου όπως και το Excel πρέπει να αντιμετωπίζονται με ιδιαίτερη προσοχή, καθώς ο macro code σε αρχεία PP μπορεί να είναι επικίνδυνος και καταστροφικός.
Δείτε επίσης: Phishing επιθέσεις: Ποιες μεγάλες εταιρείες μιμούνται οι απατεώνες για να ξεγελάσουν τα θύματα;
Στην πρόσφατη phishing εκστρατεία που εξέτασαν οι ερευνητές της Netskope, οι εγκληματίες του κυβερνοχώρου αξιοποίησαν και υπηρεσίες cloud, φιλοξενώντας τα κακόβουλα payloads σε διάφορες νόμιμες πλατφόρμες. Αυτό καθιστά πιο δύσκολο τον εντοπισμό τους από τις λύσεις ασφαλείας.
Ως εκ τούτου, για να παραμείνετε ασφαλείς, ελέγξτε με προσοχή τα emails που λαμβάνετε (ειδικά αν είναι κάτι που δεν περιμένετε) και κρατήστε απενεργοποιημένες τις μακροεντολές στο Microsoft Office suite.
Πηγή: Bleeping Computer