Οι ειδικοί σε θέματα κυβερνοασφάλειας εξέτασαν πρόσφατα τις περίπλοκες λειτουργίες ενός εξαιρετικά ύπουλου loader γνωστού ως “in2al5d p3in4er”, ο οποίος χρησιμοποιείται για τη διάδοση του κακόβουλου λογισμικού κλοπής δεδομένων Aurora.
“Ο in2al5d p3in4er loader έχει μεταγλωττιστεί με το Embarcadero RAD Studio και στοχεύει τερματικούς σταθμούς εργασίας χρησιμοποιώντας προηγμένη τεχνική anti-VM (virtual machine)”, δήλωσε η εταιρεία κυβερνοασφάλειας Morphisec σε μια αναφορά που κοινοποιήθηκε στο The Hacker News.
Ο Aurora, ένας κλέφτης πληροφοριών που δημιουργήθηκε με τη γλώσσα προγραμματισμού Go, έκανε το ντεμπούτο του στο τοπίο των απειλών στα τέλη του 2022. Διατίθεται στην αγορά σε άλλους κακόβουλους φορείς μέσω βίντεο στο YouTube και ψεύτικων ιστότοπων λήψης σπασμένου λογισμικού που είναι βελτιστοποιημένοι για μηχανές αναζήτησης.
Ακολουθώντας απλώς τους συνδέσμους που περιλαμβάνονται στις περιγραφές των βίντεο στο YouTube, τα ανυποψίαστα θύματα μπορούν να μεταφερθούν σε κακόβουλους ιστότοπους, όπου εξαπατώνται για να κατεβάσουν κακόβουλο λογισμικό μεταμφιεσμένο σε νόμιμο λογισμικό.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Η Morphisec εξέτασε έναν φορτωτή που ελέγχει το αναγνωριστικό προμηθευτή της κάρτας γραφικών που είναι εγκατεστημένη σε οποιοδήποτε σύστημα και το συγκρίνει με έναν εγκεκριμένο κατάλογο με τις AMD, Intel ή NVIDIA ως βιώσιμες επιλογές. Εάν δεν υπάρχει αντιστοιχία μεταξύ αυτών των δύο τιμών, τότε ο loader θα διακόψει αυτόματα τις λειτουργίες του.
Μετά την αποκρυπτογράφηση του τελευταίου πακέτου, ο φορτωτής το εισάγει σε μια αυθεντική διεργασία με όνομα “sihost.exe” μέσω μιας τακτικής που ονομάζεται process hollowing. Εναλλακτικά, ορισμένα παραδείγματα φορτωτών δεσμεύουν και μνήμη για τη σύνθεση του αποκρυπτογραφημένου ωφέλιμου φορτίου και την εκτόξευσή του από εκείνο το σημείο.
Αξιοποιώντας το Embarcadero RAD Studio, ο φορτωτής έχει σχεδιαστεί για τη δημιουργία εκτελέσιμων αρχείων που μπορούν να χρησιμοποιηθούν σε πολλαπλές πλατφόρμες. Αυτό διασφαλίζει ότι παραμένει μη ανιχνεύσιμος και ικανός να εκτελεί κρυφά τις κακόβουλες λειτουργίες του.
Εν ολίγοις, η έρευνα αποκαλύπτει ότι οι κακόβουλοι φορείς του in2al5d p3in4er χρησιμοποιούν τακτικές social engineering για μια εκτεταμένη εκστρατεία που χρησιμοποιεί το YouTube ως πλατφόρμα διανομής κακόβουλου λογισμικού και ανακατευθύνει τους θεατές σε πειστικές ιστοσελίδες που μοιάζουν με δόλιες ιστοσελίδες για τη διανομή κακόβουλου λογισμικού stealer.
Η Intel 471 αποκάλυψε πρόσφατα το AresLoader, έναν φορτωτή κακόβουλου λογισμικού που προσφέρεται ως υπηρεσία σε εγκληματίες για μόλις 300 δολάρια/μήνα. Το κακόβουλο λογισμικό μπορεί να μεταμφιεστεί ως νόμιμα προγράμματα μέσω της χρήσης ενός εργαλείου binder και φαίνεται να προέρχεται από μια οργάνωση που συνδέεται με τον ρωσικό χακτιβισμό. Η εξέλιξη αυτή αποκαλύπτει έναν ακόμη κίνδυνο που εγκυμονούν οι ολοένα και πιο εξελιγμένοι εγκληματίες του κυβερνοχώρου.
Από τον Ιανουάριο του 2023, το AresLoader έχει χρησιμοποιηθεί για τη διάδοση πολλών διαβόητων οικογενειών κακόβουλου λογισμικού, όπως Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc και SystemBC.
Πηγή πληροφοριών: thehackernews.com