Χάκερς ξεκινούν εκστρατεία μόλυνσης SEO, με χρήση του VLC Media Player μολύνοντας οργανισμούς υγείας με Gootkit malware και Cobalt Strike.
Στην Αυστραλία, κακόβουλοι φορείς διεξάγουν μια νέα εκστρατεία μόλυνσης SEO που χρησιμοποιεί το VLC Media Player για να μολύνει οντότητες υγειονομικής περίθαλψης με το επικίνδυνο Gootkit loader malware και τα beacons Cobalt Strike.
Η εκστρατεία στοχεύει στη χρήση του post-exploitation toolkit Cobalt Strike σε παραβιασμένες συσκευές για αρχική πρόσβαση στα δίκτυα της εταιρείας.
Ύστερα, οι απομακρυσμένοι χειριστές μπορούν να πραγματοποιήσουν σαρώσεις δικτύου, να διασχίσουν ολόκληρο το σύστημα, να συλλέξουν στοιχεία λογαριασμών και έγγραφα και να απελευθερώσουν πιο καταστροφικά payload, όπως ransomware.
Το περασμένο καλοκαίρι, ο κακόβουλος Gootkit Loader (αλλιώς γνωστός ως Gootloader) ξεκίνησε μια εκστρατεία μόλυνσης των αποτελεσμάτων μηχανών αναζήτησης που παρέδωσε το Cobalt Strike στα επηρεαζόμενα συστήματα.
Το Gootloader έχει γίνει διαβόητο για τη συμμετοχή του σε επιθέσεις ransomware και το 2020 επανεμφανίστηκε μέσω μιας υψηλού προφίλ συνεργασίας με τη συμμορία REvil.
Σύμφωνα με την τελευταία έκθεση της Trend Micro, το Gootloader έχει ξεκινήσει μια εκστρατεία μόλυνσης SEO που στοχεύει ειδικά στον κλάδο της υγειονομικής περίθαλψης στην Αυστραλία. Η επίθεση αυτή περιλαμβάνει την εισαγωγή κακόβουλων ιστότοπων στα αποτελέσματα αναζήτησης της Google, εξαπλώνοντας έτσι περαιτέρω την καταστροφή.
Τον Οκτώβριο του 2022, η καμπάνια ξεκίνησε και γρήγορα βρέθηκε στην κορυφή για λέξεις-κλειδιά που σχετίζονται με την ιατρική, όπως “νοσοκομείο”, “υγεία” κ.λπ., σε συνδυασμό με διάφορα ονόματα πόλεων από την Αυστραλία.
Δείτε επίσης: StrongPity: Στοχεύει χρήστες Android μέσω κακόβουλου Telegram app
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συχνά προς όφελός τους την κακόβουλη τεχνική της μόλυνσης SEO, δημιουργώντας πολυάριθμες αναρτήσεις που περιέχουν συνδέσμους που κατευθύνουν τους χρήστες προς τους κακόβουλους ιστότοπούς τους.
Με τη συνεχή ευρετηρίαση από τις μηχανές αναζήτησης, οι νόμιμες τοποθεσίες μπορούν να αυξήσουν τις πιθανότητές των κακόβουλων να εμφανίζονται υψηλότερα στα αποτελέσματα αναζήτησης της Google για σχετικές λέξεις-κλειδιά. Στην πραγματικότητα, οι εν λόγω ιστότοποι κατατάσσονται συχνά αρκετά ψηλά, όπως αποδεικνύεται παρακάτω!
Το Gootkit αξιοποιεί παραβιασμένους ιστότοπους για τη διάδοση κακόβουλων scripts JavaScript και κατασκευασμένων ερωτήσεων και απαντήσεων σε φόρουμ στα αποτελέσματα των μηχανών αναζήτησης.
Προσοχή στα δόλια φόρουμ ερωτήσεων και απαντήσεων, καθώς οι “απαντήσεις” τους συχνά οδηγούν σε κακόβουλους πόρους, όπως έγγραφα ή templates. Μόλις κάνετε κλικ σε αυτούς τους συνδέσμους, μπορεί να εξαπλωθεί malware και να μολυνθεί η συσκευή σας.
Οι κακόβουλοι φορείς πίσω από την εκστρατεία Batloader και Atera Agent από τον Φεβρουάριο του 2022 χρησιμοποίησαν μια ευρέως διαδεδομένη τεχνική, μολύνοντας τα αποτελέσματα αναζήτησης με λέξεις-κλειδιά που σχετίζονται με Zoom, TeamViewer και Visual Studio.
Η τελευταία εκστρατεία Gootloader χρησιμοποιεί έναν άμεσο σύνδεσμο λήψης ενός υποτιθέμενου template εγγράφου συμφωνίας υγειονομικής περίθαλψης μέσα σε ένα αρχείο ZIP. Όταν ανοίξει, το αρχείο περιέχει στοιχεία JS που ξετυλίγουν και ρίχνουν ένα script PowerShell κατά την εκκίνηση. Αυτό κατεβάζει στη συνέχεια πρόσθετο malware στη συσκευή.
Στο επόμενο βήμα της μόλυνσης, οι servers εντολών και ελέγχου του Gootloader χρησιμοποιούνται για τη λήψη των αρχείων ‘msdtc.exe’ και ‘libvlc.dll’ από malware.
Το εκτελέσιμο αρχείο είναι μια έγκυρη και πιστοποιημένη έκδοση του προγράμματος αναπαραγωγής πολυμέσων VLC, μεταμφιεσμένο σε υπηρεσία Microsoft Distributed Transaction Coordinator (MSDTC). Το DLL έχει πάρει το όνομά του από ένα από τα απαραίτητα αρχεία για την εκκίνηση του VLC, αλλά περιέχει στο εσωτερικό του μια μονάδα Cobalt Strike.
Δείτε επίσης: Επίθεση trojan Puzzle εκπαιδεύει τους βοηθούς AI στο να προτείνουν κακόβουλο κώδικα
Η εκκίνηση του VLC ενεργοποιεί μια επίθεση από την πλευρά του DLL που φορτώνει το κακόβουλο DLL σε μια αξιόπιστη διεργασία, δημιουργώντας έτσι δύο διεργασίες γνωστές ως dllhost.exe και wabmig.exe, προκειμένου να διευκολυνθούν οι δραστηριότητες του Cobalt Strike.
Αξιοποιώντας το Cobalt Strike, οι εγκληματίες του κυβερνοχώρου ανέβασαν τα αρχεία ‘PSHound.ps1’ και ‘soo.ps1’ για να παρακολουθούν τα δίκτυα, συνδέθηκαν με υπολογιστές μέσω των θυρών 389, 445 και 3268 για σκοπούς ελέγχου πρόσβασης και στη συνέχεια εξήγαγαν τα Kerberos hashes πολλαπλών λογαριασμών σε ένα αρχείο κειμένου (‘krb.txt’).
Το Cobalt Strike παρατηρείται συνήθως πριν από επιθέσεις ransomware, ωστόσο στην περίπτωση της έρευνας της Trend Micro, δεν εντοπίστηκε κάποιο συμπερασματικό payload.
Μια ευπάθεια DLL side-loading που εντοπίστηκε στο VLC Media Player φέρεται να αξιοποιήθηκε από Κινέζους κρατικούς χάκερ, με αποτέλεσμα το λογισμικό να απαγορευτεί στην Ινδία.
Δυστυχώς, μπορεί να είναι δύσκολο να αποφύγετε να πέσετε θύμα μιας επίθεσης μόλυνσης των αποτελεσμάτων αναζήτησης. Για να προστατευτείτε, η καλύτερη προσέγγιση είναι να κατεβάζετε αρχεία μόνο από ιστότοπους που εμπιστεύεστε και να βεβαιώνεστε ότι οι επεκτάσεις αρχείων είναι ενεργοποιημένες, ώστε να μπορείτε να βλέπετε τι είδους αρχείο είναι ένα συνημμένο αρχείο. Αποφύγετε επίσης να κάνετε κλικ σε συνδέσμους ή να κατεβάζετε αρχεία με επικίνδυνες επεκτάσεις όπως .exe ή .bat. Επιπλέον, σκεφτείτε να ανεβάσετε οποιοδήποτε αρχείο που κατεβάσατε στο VirusTotal πριν το ανοίξετε, προκειμένου να ελέγξετε πρώτα για κακόβουλη συμπεριφορά.
Το Gootkit είναι μόνο ένα παράδειγμα του πώς οι εγκληματίες του κυβερνοχώρου αξιοποιούν κοινές εφαρμογές όπως το VLC για να αποκτήσουν πρόσβαση σε δίκτυα και να εξαπολύσουν επιθέσεις εναντίον οργανισμών υγειονομικής περίθαλψης. Είναι ζωτικής σημασίας για όλους να παραμείνουν σε εγρήγορση για την ταχεία επιδιόρθωση των κενών ασφαλείας όποτε προκύπτουν και να διασφαλίζουν ότι χρησιμοποιούνται μόνο αξιόπιστες πηγές κατά τη λήψη εφαρμογών όπως το VLC ή οποιεσδήποτε άλλες ενημερώσεις λογισμικού.
Πηγή: bleepingcomputer.com
