Εντοπίστηκε κακόβουλο λογισμικό, με ονομασία ‘oscompatible’ που μεταφορτώθηκε στο μητρώο npm και αναπτύσσει trojan απομακρυσμένης πρόσβασης, σε Windows υπολογιστές που έχουν υποστεί βλάβη.
Χρησιμοποιώντας το PowerShell, προσπαθεί να εκτελέσει το αρχείο “cookie_exporter.exe” προκειμένου να αποκτήσει δικαιώματα διαχειριστή.
Διαβάστε ακόμη: Η εταιρεία CERT-UA αποκαλύπτει νέο κακόβουλο λογισμικό!
Στη συνέχεια, το DLL “msedge.dll” πραγματοποιεί επίθεση DLL search order hijacking, αποκρυπτογραφεί το αρχείο DAT (“msedge.dat”) και εκκινεί το “msedgedat.dll”. Αυτό το DLL επικοινωνεί με τον ελεγχόμενο διακομιστή “kdark1[.]com” για να λάβει ένα αρχείο ZIP που περιέχει το AnyDesk και ένα Trojan για απομακρυσμένη πρόσβαση (“verify.dll”). Το “oscompatible” αρχεία όπως, ένα εκτελέσιμο αρχείο, ένα DLL και ένα κρυπτογραφημένο αρχείο DAT, μαζί με ένα αρχείο JavaScript.
Αυτό το αρχείο JavaScript με όνομα “index.js” εκτελεί μια σειρά ενεργειών που περιλαμβάνουν την εκτέλεση του “autorun.bat”. Ωστόσο, πριν από αυτό, πραγματοποιεί έναν έλεγχο συμβατότητας για να επιβεβαιώσει εάν το προορισμένο μηχάνημα λειτουργεί σε περιβάλλον Microsoft Windows.
Έπειτα, επεξεργάζεται το σύστημα, επεκτείνοντας τις λειτουργίες του Chrome, απενεργοποιώντας τον αυτόματο τερματισμό των Windows, καταγράφοντας πληκτρολογήσεις και κινήσεις του ποντικιού και εκτελώντας άλλες κακόβουλες δραστηριότητες, σύμφωνα με την ανάλυση της εταιρείας κυβερνοασφαλείας Phylum.
Αν η πλατφόρμα δεν είναι Windows, εμφανίζει ένα μήνυμα σφάλματτος στον χρήστη που αναφέρει ότι το αρχείο εκτελείται σε Linux ή σε μη αναγνωρισμένο λειτουργικό σύστημα, παροτρύνοντάς τον να το εκτελέσει σε “Windows Server OS”.
Το λογισμικό ανοιχτού κώδικα (OSS) διατρέχει αυξημένο κίνδυνο, καθώς έχει διαπιστωθεί ότι το 21,2% των κορυφαίων 50.000 πακέτων npm έχουν αποσυρθεί, θέτοντας τους χρήστες σε κίνδυνο. Φαίνεται ότι το κακόβουλο πρόγραμμα “oscompatible” εμπλέκεται σε μια τέτοια επίθεση, χρησιμοποιώντας πολύπλοκες τεχνικές όπως η αποκρυπτογράφηση δεδομένων.
Σύμφωνα με τους ερευνητές ασφαλείας Ilay Goldman και Yakir Kadkoda, “αυτή η κατάσταση γίνεται κρίσιμη όταν οι συντηρητές, αντί να διορθώνουν κενά ασφαλείας μέσω ενημερώσεων κώδικα ή CVE, επιλέγουν να καταργήσουν τα επηρεαζόμενα πακέτα”.
Δείτε περισσότερα: Νέο κακόβουλο λογισμικό JavaScript στοχεύει τράπεζες παγκοσμίως
Αυτό το κενό ασφαλείας λοιπόν έχει αντίκτυπο στους χρήστες που ενδέχεται να μην γνωρίζουν τυχόν πιθανές απειλές, και αυτό είναι που το καθιστά ακόμη πιο επικίνδυνο.
Πηγή: thehackernews.com
