Ένας παραβιασμένος λογαριασμός email που ανήκει στο Υπουργείο Άμυνας της Ουκρανίας εντοπίστηκε να στέλνει phishing emails και instant μηνύματα με στόχο τους χρήστες του στρατιωτικού προγράμματος “DELTA”, σε μια προσπάθεια να διεισδύσει στα συστήματά τους με info-stealing malware.
Δείτε επίσης: T-Mobile: Νέα λειτουργία SIM Protection κυκλοφόρησε!
Σήμερα, η CERT-UA (Computer Emergency Response Team of Ukraine) εξέδωσε προειδοποίηση προς το ουκρανικό στρατιωτικό προσωπικό σχετικά με την κακόβουλη επίθεση κακόβουλου λογισμικού, δημοσιεύοντας μια επίσημη έκθεση που επισημαίνει την εκστρατεία τους.
Το DELTA, που δημιουργήθηκε από την Ουκρανία με τη βοήθεια των συμμάχων της, είναι ένα ισχυρό σύστημα συλλογής και διαχείρισης πληροφοριών που έχει σχεδιαστεί για να βοηθά το στρατιωτικό προσωπικό να παρακολουθεί τις δραστηριότητες των αντιπάλων του.
Δείτε επίσης: Η CRM πλατφόρμα SevenRooms επιβεβαίωσε ότι παραβιάστηκε
Το καινοτόμο σύστημά προσφέρει μια πλήρη σουίτα πληροφοριών σε πραγματικό χρόνο, συνδέοντας απρόσκοπτα δεδομένα από πολλαπλές πηγές σε έναν διαδραστικό ψηφιακό χάρτη που μπορεί να τρέξει σε οποιαδήποτε συσκευή – ανεξάρτητα από το αν πρόκειται για laptop ή smartphone.
Τα ψηφιακά πιστοποιητικά χρησιμοποιούνται για την υπογραφή κώδικα λογισμικού και τον έλεγχο ταυτότητας των server, δηλώνοντας στα προϊόντα ασφαλείας που εκτελούνται στο λειτουργικό σύστημα ότι η εφαρμογή δεν έχει παραβιαστεί και ότι ο χειριστής του server είναι αυτός που ισχυρίζεται ότι είναι.
Διαδικασία μόλυνσης
Αυτή η εκστρατεία χρησιμοποιούσε κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου ή μηνύματα με κατασκευασμένες προειδοποιήσεις για να πείσει τους χρήστες ότι έπρεπε να ενημερώσουν τα πιστοποιητικά “DELTA” προκειμένου το σύστημά τους να παραμείνει ασφαλές.
Έχει κυκλοφορήσει ένα κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου που περιέχει ένα έγγραφο PDF με παραπλανητικές οδηγίες για τη λήψη ενός αρχείου με όνομα “certificates_rootCA.zip”. Προσέξτε να μην κάνετε κλικ σε συνδέσμους που περιέχονται στο μήνυμα, καθώς μπορεί να οδηγήσουν σε επικίνδυνο κακόβουλο λογισμικό ή ιούς!
Το αρχείο περιλαμβάνει ένα ψηφιακά υπογεγραμμένο εκτελέσιμο αρχείο, το “certificates_rootCA.exe”, το οποίο δημιουργεί διάφορα αρχεία DLL στο μηχάνημα του χρήστη-στόχου και εκκινεί το “ais.exe”,
που προσομοιώνει τη διαδικασία εγκατάστασης πιστοποιητικού.
Αυτή η ενέργεια οδηγεί το θύμα να πιστέψει ότι όλα ήταν αυθεντικά, μειώνοντας σημαντικά την πιθανότητα να αναγνωρίσει ότι έχει υποστεί χακαριστεί.
Τόσο τα αρχεία EXE όσο και τα DLL προστατεύονται από το VMProtect, ένα νόμιμο λογισμικό που χρησιμοποιείται για το wrapping αρχείων σε αυτόνομες εικονικοποιημένες μηχανές, την κρυπτογράφηση του περιεχομένου τους και το να κάνει αδύνατη την ανάλυση ή την ανίχνευση AV.
Τα DLL που έγιναν drop, “FileInfo.dll” και “procsys.dll,” είναι κακόβουλο λογισμικό, που προσδιορίζονται από το CERT-UA ως “FateGrab” και “StealDeal”.
Το FateGrab είναι ένα FTP file stealer που στοχεύει έγγραφα και email με τις ακόλουθες μορφές αρχείων: ‘.txt’, ‘.rtf’, ‘.xls’, ‘.xlsx’, ‘.ods’, ‘.cmd’, ‘.pdf’ , ‘.vbs’, ‘.ps1’, ‘.one’, ‘.kdb’, ‘.kdbx’, ‘.doc’, ‘.docx’, ‘.odt’, ‘.eml’, ‘.msg’ , ’email’.
Δείτε επίσης: H-Hotels: Το Play ransomware υπεύθυνο για την κυβερνοεπίθεση
Το StealDeal είναι ένα information stealer malware που μπορεί να χρησιμοποιηθεί για την απόκτηση εμπιστευτικών πληροφοριών, όπως δεδομένα περιήγησης στο διαδίκτυο και κωδικούς πρόσβασης που είναι αποθηκευμένοι σε προγράμματα περιήγησης στο διαδίκτυο.
Μετά από ενδελεχή έρευνα, το CERT-UA δεν μπόρεσε να εντοπίσει την επιχείρηση σε γνωστούς κακόβουλους φορείς.
Το info-stealing malware είναι μια ολοένα και πιο συνηθισμένη μορφή κακόβουλου κώδικα που μπορεί να χρησιμοποιηθεί για την κλοπή εμπιστευτικών πληροφοριών από υπολογιστές και δίκτυα ανυποψίαστων θυμάτων. Αν και είναι αδύνατο να αποτρέψετε πλήρως τις μολύνσεις, υπάρχουν μέτρα που μπορείτε να λάβετε για να προστατευτείτε από το να πέσετε θύμα αυτού του τύπου επίθεσης. Βεβαιωθείτε ότι χρησιμοποιείτε ενημερωμένο λογισμικό προστασίας από ιούς και ότι σαρώνετε τακτικά το σύστημά σας για οποιαδήποτε ύποπτη δραστηριότητα. Επιπλέον, φροντίστε να μην ανοίγετε ποτέ ύποπτα συνημμένα email ή συνδέσμους που αποστέλλονται από άγνωστες πηγές – αυτά μπορεί να περιέχουν κακόβουλο λογισμικό που κλέβει πληροφορίες και μπορεί να προκαλέσει καταστροφή στο σύστημα του υπολογιστή σας, αν δεν ελεγχθεί!
Πηγή πληροφοριών: bleepingcomputer.com
