Η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας, προειδοποιεί ότι κακόβουλοι χρήστες, διανέμουν ψεύτικες ενημερώσεις προστασίας από ιούς για τα Windows, οι οποίες εγκαθιστούν το Cobalt Strike και άλλο κακόβουλο λογισμικό.
Δείτε επίσης:Το malware SockDetour χρησιμοποιείται ως Windows backdoor
Τα μηνύματα ηλεκτρονικού “ψαρέματος” υποδύονται κυβερνητικές υπηρεσίες της Ουκρανίας που προσφέρουν τρόπους για να αυξήσουν την ασφάλεια του δικτύου και συμβουλεύουν τους παραλήπτες να κάνουν λήψη “κρίσιμων ενημερώσεων ασφαλείας”, οι οποίες έχουν τη μορφή αρχείου 60 MB με το όνομα “BitdefenderWindowsUpdatePackage.exe“.
Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν έναν σύνδεσμο προς έναν γαλλικό ιστότοπο με κουμπιά λήψης για τις υποτιθέμενες ενημερώσεις λογισμικού AV. Ένας άλλος ιστότοπος, ο nirsoft[.]me, ανακαλύφθηκε επίσης από το MalwareHunterTeam ότι ενεργεί ως διακομιστής εντολών και ελέγχου για αυτήν την καμπάνια.
5 βασικές συμβουλές ασφαλείας για τους gamers
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Όταν ένα θύμα πραγματοποιεί λήψη και εκτέλεση αυτής της ψεύτικης ενημέρωσης του BitDefender Windows, εμφανίζεται ένα μήνυμα που ζητά από τους χρήστες να εγκαταστήσουν ένα «Πακέτο ενημέρωσης Windows».
Ωστόσο, αυτή η «ενημέρωση» πραγματοποιεί λήψη και εγκατάσταση του αρχείου one.exe από το Discord CDN, το οποίο περιέχει το Cobalt Strike.
Δείτε ακόμα: Hackers εγκαθιστούν Cobalt Strike beacons σε Microsoft SQL Servers
Το Cobalt Strike προσφέρει δυνατότητες διαδικτυακών επιθέσεων, διευκολύνοντας την πλευρική κίνηση σε ένα δίκτυο και διασφαλίζει την επιμονή.
Η ίδια διαδικασία ανακτά ένα πρόγραμμα λήψης Go (dropper.exe) το οποίο αποκωδικοποιεί και εκτελεί ένα αρχείο με κωδικοποίηση βάσης 64 (java-sdk.exe). Αυτό το αρχείο προσθέτει ένα νέο κλειδί μητρώου των Windows για επιμονή και επίσης πραγματοποιεί λήψη δύο ακόμη ωφέλιμων φορτίων, του GraphSteel backdoor (microsoft-cortana.exe) και του GrimPlant backdoor (oracle-java.exe).
Όλα τα εκτελέσιμα στην καμπάνια είναι συσκευασμένα στο εργαλείο Themida, το οποίο τα προστατεύει από την αντίστροφη μηχανική, τον εντοπισμό και την ανάλυση.
Τα GraphSteel και GrimPlant είναι κακόβουλα λογισμικά γραμμένα σε Go, μια ευέλικτη και πολλαπλών πλατφορμών γλώσσα προγραμματισμού, με ελάχιστο αποτύπωμα και χαμηλά ποσοστά ανίχνευσης AV.
Οι δυνατότητες των δύο εργαλείων καλύπτουν την αναγνώριση δικτύου, την εκτέλεση εντολών και τις λειτουργίες αρχείων, επομένως το γεγονός ότι και τα δύο αναπτύσσονται στο ίδιο σύστημα είναι πιθανό να γίνεται για πλεονασμό.
Δείτε επίσης: Emotet: Χρησιμοποιεί ξανά το Cobalt Strike για πιο γρήγορες επιθέσεις
Η Ουκρανική Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών συσχετίζει την ανιχνευμένη δραστηριότητα με την ομάδα UAC-0056. Η UAC-0056, γνωστή και ως “Lorec53“, είναι μία εξελιγμένη ρωσσόφωνη APT, που χρησιμοποιεί έναν συνδυασμό μηνυμάτων ηλεκτρονικού ψαρέματος και προσαρμοσμένων θυρών για τη συλλογή πληροφοριών από οργανισμούς της Ουκρανίας.