Ερευνητές της FortiGuard συνέταξαν μια νέα έκθεση σχετικά με μια εξελιγμένη στρατηγική διανομής κακόβουλου λογισμικού που παρατηρήθηκε κατά τη διάρκεια του 2023. Οι ερευνητές εντόπισαν μια σειρά από malware droppers που ονομάστηκαν “TicTacToe dropper” και χρησιμοποιήθηκαν για την παράδοση διαφόρων malware στα θύματα.
Αυτά τα droppers χρησιμοποιούσαν πολλαπλά στρώματα obfuscated payloads που φορτώνονταν στη μνήμη και στόχευαν στην απόκρυψη του τελικού κακόβουλου payload.
Σύμφωνα με τους ερευνητές, τα TicTacToe dropper χρησιμοποιήθηκαν για την παράδοση πολλών malware συμπεριλαμβανομένων των Leonem, AgentTesla, SnakeLogger, RemLoader, Sabsik, LokiBot, Taskun, Androm, Upatre και Remcos.
Δείτε επίσης: Ουκρανός παραδέχτηκε τον ηγετικό του ρόλο στα malware Zeus και IcedID
Τα droppers συνήθως διανέμονταν μέσω phishing email με συνημμένα αρχεία .iso. Κατά την εκτέλεση, το dropper εξήγαγε και φόρτωνε πολλαπλά επίπεδα αρχείων DLL στη μνήμη, δυσκολεύοντας την ανίχνευση.
Υπήρχαν κάποιες διαφοροποιήσεις στην παράδοση των payloads, αλλά οι συνήθεις συμπεριφορές επέτρεψαν την ομαδοποίηση των malware dropper TicTacToe.
Η ανάλυση από τους ερευνητές αποκάλυψε περίπλοκες τεχνικές obfuscation κατά τις διαδικασίες εξαγωγής και φόρτωσης των dropper payloads. Τεχνικές όπως το runtime assembly loading και το DeepSea obfuscation χρησιμοποιήθηκαν για την απόκρυψη της κακόβουλης πρόθεσης των payloads.
Επιπλέον, ανακαλύφθηκε ένα συνεπές μοτίβο πολυεπίπεδων payloads, που αποτελούνταν από .NET executables/libraries, με reflective loading κάθε σταδίου payload, συμπεριλαμβανομένου του τελικού payload.
Δείτε επίσης: DarkMe Malware στοχεύει εμπόρους χρησιμοποιώντας Microsoft SmartScreen Zero-Day ευπάθεια
Η μελέτη της Fortinet υποδηλώνει ότι τα TicTacToe dropper malware droppers μπορούν να είναι χρήσιμα για την παράδοση πολλών κακόβουλων λογισμικών και πιστεύεται ότι πωλούνται ως υπηρεσία σε πολλούς κυβερνοεγκληματίες.
“Κατανοώντας τη λειτουργία αυτού του dropper και εφαρμόζοντας λύσεις που μπορούν να αποτρέψουν την εκτέλεσή του, οι οργανισμοί θα είναι σε θέση να αποτρέψουν την εκτέλεση μιας ποικιλίας malware προτού φορτωθούν“, αναφέρει η έκθεση των ερευνητών.
Προστασία
Τα Malware Droppers, όπως προείπαμε, είναι προγράμματα που εγκαθιστούν malware σε μια συσκευή χωρίς την άδεια του χρήστη. Μία από τις κύριες στρατηγικές για την προστασία από αυτά είναι η χρήση λογισμικού προστασίας από ιούς και malware. Αυτό το λογισμικό σαρώνει τον υπολογιστή για να εντοπίσει και να αφαιρέσει άμεσα τυχόν κακόβουλο λογισμικό.
Μια άλλη σημαντική στρατηγική είναι η ενημέρωση του λειτουργικού συστήματος και των εφαρμογών. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από Malware Droppers, όπως τα TicTacToe dropper.
Δείτε επίσης: Το PikaBot malware επανεμφανίζεται με βελτιωμένες τακτικές
Επίσης, είναι σημαντικό να αποφεύγετε το κατέβασμα αρχείων από μη αξιόπιστες πηγές. Τα Malware Droppers μπορούν να είναι κρυμμένα σε αρχεία που φαίνονται ακίνδυνα, όπως τα λογισμικά freeware ή τα email attachments.
Τέλος, η εκπαίδευση είναι ένας ισχυρός σύμμαχος. Η γνώση των τακτικών που χρησιμοποιούν οι κακόβουλοι χρήστες για να εγκαταστήσουν Malware Dropper μπορεί να βοηθήσει τους χρήστες να αναγνωρίσουν και να αποφύγουν τις απειλές.
Πηγή: www.infosecurity-magazine.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/519461/tictactoe-dropper-xrisimopoiountai-gia-dianomi-malware/&media=https://www.secnews.gr/wp-content/uploads/2024/02/TicTacToe-Dropper-διανομή-malware-min.jpg&description=Οι ερευνητές εντόπισαν μια σειρά από malware droppers που ονομάστηκαν "TicTacToe dropper" και χρησιμοποιήθηκαν για την παράδοση malware){kind=link}