Ένας νέος malware loader με το όνομα HijackLoader κερδίζει έδαφος στην κοινότητα των κυβερνο-εγκληματιών για να παραδίδει διάφορα φορτία, όπως το DanaBot, το SystemBC και το RedLine Stealer.
Δείτε επίσης: Microsoft Teams: Επίθεση phishing ωθεί το κακόβουλο λογισμικό DarkGate
Η εταιρεία εντόπισε αρχικά τον HijackLoader Modular Malware Loader τον Ιούλιο του 2023 το οποίο χρησιμοποιεί μια σειρά τεχνικών για να παραμένει αόρατο. Αυτό περιλαμβάνει τη χρήση syscalls για να αποφεύγει την παρακολούθηση από λύσεις ασφαλείας, την παρακολούθηση διεργασιών που σχετίζονται με λογισμικό ασφαλείας βάσει μιας ενσωματωμένης λίστας αποκλεισμένων και την καθυστέρηση της εκτέλεσης του κώδικα έως και 40 δευτερόλεπτα σε διάφορα στάδια.
Δυστυχώς, δεν είναι γνωστό το ακριβές αρχικό διάνυσμα πρόσβασης που χρησιμοποιήθηκε για να διεισδύσει σε στόχους. Ο loader περιλαμβάνει ένα κύριο module παρακολούθησης που επιτρέπει ευέλικτη εισαγωγή κώδικα και εκτέλεση με χρήση ενσωματωμένων module.
Το persistence στον παραβιασμένο host επιτυγχάνεται δημιουργώντας ένα αρχείο συντόμευσης (LNK) στο φάκελο Windows Startup και υποδεικνύοντάς το σε μια εργασία Background Intelligent Transfer Service (BITS).
Δείτε επίσης: Το Notepad++ 8.5.7 διορθώνει σοβαρές ευπάθειες
Η αποκάλυψη έρχεται καθώς η Flashpoint αποκάλυψε λεπτομέρειες μιας ενημερωμένης έκδοσης κακόβουλου λογισμικού γνωστού ως RisePro, το οποίο προηγουμένως διανέμονταν μέσω μιας υπηρεσίας λήψης κακόβουλου λογισμικού pay-per-install (PPI), γνωστού ως PrivateLoader.
Το RisePro, γραμμένο σε C++, έχει σχεδιαστεί για να συλλέγει ευαίσθητες πληροφορίες σε μολυσμένα μηχανήματα και να τις διοχετεύει σε έναν command-and-control (C&C) server με τη μορφή αρχείων καταγραφής. Προσφέρθηκε για πρώτη φορά προς πώληση τον Δεκέμβριο του 2022.
Επίσης, ακολουθεί η ανακάλυψη ενός νέου information stealer που έχει γραφτεί σε Node.js και συσκευάζεται σε ένα εκτελέσιμο αρχείο, διανέμεται μέσω κακόβουλων διαφημίσεων στο Facebook με θέμα το Large Language Model (LLM) και ψεύτικων ιστότοπων που προσποιούνται τον επεξεργαστή βίντεο CapCut της ByteDance.
Αυτή είναι η δεύτερη φορά που εντοπίστηκαν ψεύτικες ιστοσελίδες CapCut να παραδίδουν κακόβουλο λογισμικό. Τον Μάιο του 2023, η Cyble ανέκαλύψε δύο διαφορετικές αλυσίδες επίθεσης που εκμεταλλεύονταν το λογισμικό ως παγίδα για να εξαπατήσουν ανυποψίαστους χρήστες και να εκτελέσουν τους Stealer Offx και RedLine Stealer.
Οι εξελίξεις παρουσιάζουν μια εικόνα ενός διαρκώς εξελισσόμενου οικοσυστήματος κυβερνοεγκλήματος, με τις μολύνσεις από stealer να λειτουργούν ως ένα πρωτεύον διάνυσμα αρχικής επίθεσης που χρησιμοποιείται από απειλητικούς παράγοντες για να διεισδύσουν σε οργανισμούς και να πραγματοποιήσουν post-exploitation ενεργειών.
Δεν είναι λοιπόν έκπληξη το γεγονός ότι οι απειλητικοί παράγοντες αξιοποιούν την ευκαιρία για να δημιουργήσουν νέες ποικιλίες stealer malware, όπως ο Prysmax, που ενσωματώνει ένα εργαλείο με πολλαπλές λειτουργίες που επιτρέπουν στους πελάτες τους να αξιοποιήσουν στο έπακρο το reach και το impact τους.
Πηγή πληροφοριών: thehackernews.com
