Μια πρόσφατη έκθεση από την Uptycs υπογράμμισε την εξέλιξη του QuasarRAT, ενός open-source εργαλείου απομακρυσμένης διαχείρισης (RAT) που διαθέτει πολλές κακόβουλες δυνατότητες. Σύμφωνα με την ερευνήτρια ασφαλείας της Uptycs, Tejaswini Sandapolla, το QuasarRAT που είναι επίσης γνωστό ως CinaRAT ή Yggdrasil, χρησιμοποιεί μια εξελιγμένη τεχνική που ονομάζεται DLL side-loading, η οποία εκμεταλλεύεται αξιόπιστα αρχεία της Microsoft για την εκτέλεση κακόβουλων δραστηριοτήτων.
Αυτή η τεχνική εκμεταλλεύεται την εμπιστοσύνη απέναντι σε αυτά τα αρχεία στο περιβάλλον των Windows και γι’ αυτό το λόγο είναι πολύ επικίνδυνη. Το QuasarRAT φέρεται να ήταν προσβάσιμο στο GitHub, θέτοντας σε κίνδυνο τους χρήστες των Windows, τους διαχειριστές συστημάτων και τους επαγγελματίες της κυβερνοασφάλειας.
Δείτε επίσης: SeroXen RAT: Μολύνει τους προγραμματιστές του NuGet
“Τέτοιες τακτικές δεν είναι καινούριες, αλλά το να τις βλέπεις να εξελίσσονται και να υιοθετούνται από άλλα στελέχη κακόβουλου λογισμικού δείχνει την προσαρμοστικότητα των παραγόντων απειλών“, έγραψε η Sandapolla. Στην πραγματικότητα, οι εισβολείς χρησιμοποιούν συγκεκριμένα αξιόπιστα αρχεία της Microsoft για να εκτελέσουν αυτήν την επίθεση.
Στην αρχική φάση της επίθεσης, το QuasarRAT χρησιμοποιεί το αυθεντικό “ctfmon.exe” για να φορτώσει ένα κακόβουλο DLL, συγκαλύπτοντας τις προθέσεις του. Αυτό επιτρέπει στον επιτιθέμενο να αποκτήσει ένα ‘stage 1’ payload, που θα λειτουργήσει ως πύλη για επόμενες κακόβουλες δραστηριότητες. Στη συνέχεια, το stage 1 payload απελευθερώνει στο σύστημα τόσο το νόμιμο αρχείο “calc.exe” όσο και το κακόβουλο DLL.
Δείτε επίσης: Corsair: Ψεύτικες προσφορές θέσεων εργασίας στο LinkedIn διανέμουν το DarkGate malware
Ο επιτιθέμενος εκμεταλλεύεται το “calc.exe”, το οποίο δεν είναι απλώς μια απλή εφαρμογή αριθμομηχανής σε αυτό το πλαίσιο. Όταν εκτελείται, ενεργοποιεί και το κακόβουλο DLL, επιτρέποντας την εισχώρηση του “QuasarRAT” payload στη μνήμη του υπολογιστή.
Αφού διεισδύσει στη μνήμη του υπολογιστή, το κακόβουλο payload κάνει “process hollowing” για να ενσωματωθεί σε ένα νόμιμο system process, αποκρύπτοντας περαιτέρω τις κακόβουλες προθέσεις του και δυσκολεύοντας τον εντοπισμό.
Δείτε επίσης: Ψεύτικα Google Ads προωθούν το KeePass και διανέμουν malware
Η Uptycs τονίζει ότι για να προστατευτείτε από το QuasarRAT και τις νέες δυνατότητές του, πρέπει κάνετε τα εξής:
- Ενημέρωση λογισμικών και συστημάτων
- Χρήση αξιόπιστων προγραμμάτων προστασίας από ιούς
- Προσοχή σε ύποπτα emails και συνημμένα
- Προστασία συστημάτων: Η διασφάλιση των συστημάτων συνιστάται ως πρώτη γραμμή άμυνας. Είναι κεφαλαιώδους σημασίας η εξασφάλιση των συστημάτων με τη βοήθεια των πιο πρόσφατων ενημερώσεων και patches.
- Firewall και IDS/IPS: Η εγκατάσταση ενός σκληρού firewall και ενός συστήματος ανίχνευσης και πρόληψης εισβολών (IDS/IPS) είναι απαραίτητη.
- Training & Ευαισθητοποίηση: Η εκπαίδευση και ευαισθητοποίηση των χρηστών ενάντια στις επιθέσεις phishing μπορεί να μειώσει σημαντικά τον κίνδυνο μόλυνσης από το QuasarRAT.
Πηγή: www.infosecurity-magazine.com