Αφρικανικές τράπεζες βρίσκονται στο στόχαστρο hackers που διανέμουν trojans με σκοπό την απομακρυσμένη πρόσβαση σε συστήματα (RAT). Συγκεκριμένα, το τελευταίο διάστημα, οι τράπεζες λαμβάνουν phishing emails που διανέμουν το Remcos RAT.
Οι εγκληματίες του κυβερνοχώρου που ενδιαφέρονται για γρήγορα οικονομικά κέρδη αποτελούν μια συνεχή πηγή προβλημάτων για τις τράπεζες στην Αφρική, οι οποίες ενισχύουν συνεχώς τα συστήματα άμυνας και ασφάλειάς τους για να μπορέσουν να τους αντιμετωπίσουν.
Οι επιτιθέμενοι με τη σειρά τους βρίσκουν νέες και πιο έξυπνες μεθόδους επίθεσης για να παρακάμψουν τα μέτρα προστασίας. Τους τελευταίους μόνο μήνες (από την αρχή του 2022), οι malware εκστρατείες που στοχεύουν αφρικανικές τράπεζες, χρησιμοποιούν έναν συνδυασμό tricks για να αυξήσουν τις πιθανότητες επιτυχίας.
Δείτε επίσης: Elementor WordPress plugin: Κρίσιμη ευπάθεια επηρεάζει χιλιάδες sites
Μία από αυτές τις καμπάνιες του 2022 ανακαλύφθηκε από την HP Wolf Security, οι αναλυτές της οποίας εξέτασαν τις τακτικές των επιτιθέμενων και τα βήματα μόλυνσης.
Έναρξη της επίθεσης με phishing email
Η επίθεση ξεκινά με ένα phishing email που αποστέλλεται σε υπαλλήλους που δουλεύουν σε τράπεζες, από ένα domain που μοιάζει με τη διεύθυνση URL μιας νόμιμης εταιρείας αλλά έχει τυπογραφικά λάθη. Συνήθως το domain υποδύεται μια ανταγωνιστική τράπεζα.
Το email προτείνει στον παραλήπτη μια ενδιαφέρουσα θέση εργασίας και περιέχει συνδέσμους προς ένα site, για περισσότερες λεπτομέρειες. Αν ο υπάλληλος πατήσει πάνω στο σύνδεσμο οδηγείται σε μια ιστοσελίδα που περιέχει οδηγίες για την αίτηση.
Το περιεχόμενο αυτής της σελίδας αντιγράφεται από μια πραγματική καταχώριση της τράπεζας που μιμείται, κι έτσι τα στοιχεία φαίνονται πολύ ρεαλιστικά.
Αυτά τα sites δεν εκτελούν phishing και δεν φιλοξενούν κακόβουλο λογισμικό, επομένως ο μοναδικός τους σκοπός είναι να πείσουν το θύμα και να το κάνουν να συνεχίσει στη διαδικασία μόλυνσης.
Κακόβουλο payload
Το payload φθάνει με τη μορφή συνημμένου HTML στο εν λόγω email, το οποίο είναι base64-encoded ISO archive file που αποκωδικοποιείται και προσφέρεται για λήψη μέσω JavaScript blob στο πρόγραμμα περιήγησης.
Αυτή η τεχνική προώθησης επικίνδυνων file formats χωρίς να ενεργοποιούνται τα συστήματα ασφάλειας email, ονομάζεται HTML smuggling και είναι μια μοντέρνα μέθοδος διανομής κακόβουλων payloads.
Το ISO file περιέχει ένα Visual Basic Script (VBS) file, το οποίο εκτελείται με διπλό κλικ για να δημιουργήσει ένα νέο Registry key και να εκτελέσει εντολές PowerShell που προκαλούν διάφορα Windows API functions.
Δείτε επίσης: Aethon: Κρίσιμες ευπάθειες σε ρομπότ νοσοκομείων – Διορθώθηκαν
Μετά από μια σειρά από εκτελέσεις κακόβουλου κώδικα και κατάχρηση Windows API, εμφανίζεται το GuLoader. Αυτό το κακόβουλο λογισμικό είναι ένα πρόγραμμα φόρτωσης που κατεβάζει και εκτελεί άλλα malware. Σε αυτήν την καμπάνια, το GuLoader χρησιμοποιήθηκε για λήψη και εκτέλεση του RemcosRAT malware. Για το σκοπό αυτό, υπάρχουν δύο διευθύνσεις URL στο configuration του GuLoader που οδηγούν στο RemcosRAT payload. Το ένα payload URL οδηγεί στο OneDrive και το άλλο στο Dropbox. Άλλες καμπάνιες που περιλαμβάνουν το GuLoader, έχουν επίσης χρησιμοποιήσει υπηρεσίες κοινής χρήσης αρχείων για τη φιλοξενία malware payloads. Δεδομένου ότι το payload είναι επίσης κρυπτογραφημένο, μπορεί να είναι δύσκολο για τους παρόχους υπηρεσιών να το εντοπίσουν και να το αφαιρέσουν.
Στόχος
Το Remcos είναι ένα κατά τα άλλα νόμιμο εμπορικό εργαλείο απομακρυσμένης πρόσβασης (RAT) που χρησιμοποιείται όμως και από εγκληματίες του κυβερνοχώρου για κακόβουλους σκοπούς.
Το εργαλείο επιτρέπει την απομακρυσμένη εκτέλεση εντολών, τη λήψη screenshots, την καταγραφή πληκτρολογήσεων, τη χρήση κάμερας και μικροφώνου και πολλά άλλα.
Δείτε επίσης: Fakecalls trojan: Παραβιάζει κλήσεις χρηστών προς την υπηρεσία υποστήριξης πελατών τραπεζών
Οι εγκληματίες που στοχεύουν τις αφρικανικές τράπεζες με τα phishing emails, πιθανότατα χρησιμοποιούν το Remcos RAT για να αποκτήσουν πρόσβαση σε στοιχεία συναλλαγών, να κλέψουν πολύτιμα credentials, να εξαπλωθούν στο δίκτυο της τράπεζας ή να κλέψουν πληροφορίες που χρειάζονται για επιθέσεις BEC.
Ο οικονομικός εκβιασμός μέσω εξαγωγής δεδομένων ή ανάπτυξης ransomware είναι επίσης πιθανός, ενώ οι επιτιθέμενοι μπορούν επίσης να πουλήσουν την πρόσβαση στα δίκτυα σε άλλους hackers για να βγάλουν χρήματα.
Πηγή: Bleeping Computer