Ερευνητές της Fortinet ανακάλυψαν μια περίπλοκη επίθεση πολλαπλών σταδίων που αξιοποιεί δολώματα phishing με θέμα τιμολόγια και διανέμει malware, όπως τα Venom RAT, Remcos RAT, XWorm, NanoCore RAT και ένα crypto stealer.
Τα emails συνοδεύονται από συνημμένα Scalable Vector Graphics (SVG) αρχεία. Αν οι χρήστες κάνουν κλικ σε αυτά, ενεργοποιούν την αλυσίδα μόλυνσης.
Αυτή η επίθεση ξεχωρίζει λόγω της χρήσης του BatCloak malware obfuscation engine και του ScrubCrypt για την παράδοση του κακόβουλου λογισμικού με τη μορφή obfuscated batch scripts.
Δείτε επίσης: Νέες phishing επιθέσεις στοχεύουν τη Λατινική Αμερική
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Το BatCloak, που προσφέρεται προς πώληση σε άλλους παράγοντες απειλών από τα τέλη του 2022, φορτώνει payloads επόμενου σταδίου παρακάμπτοντας τους παραδοσιακούς μηχανισμούς ανίχνευσης.
Το ScrubCrypt αναλύθηκε για πρώτη φορά από την Fortinet τον Μάρτιο του 2023, στα πλαίσια μελέτης μιας καμπάνιας cryptojacking, που ενορχηστρώθηκε από τη 8220 Gang. Ερευνητές της Trend Micro πιστεύουν ότι το ScrubCrypt σχετίζεται με το BatCloak.
Στην πιο πρόσφατη καμπάνια phishing, το αρχείο SVG χρησιμεύει ως αγωγός για την εγκατάσταση ενός αρχείου ZIP που περιέχει ένα batch script που πιθανότατα δημιουργήθηκε χρησιμοποιώντας το BatCloak. Αυτό στη συνέχεια, κάνει unpacking το ScrubCrypt batch file για να εκτελέσει τελικά το Venom RAT. Πρώτα, όμως, φροντίζει να εξασφαλίσει το persistence στον κεντρικό υπολογιστή και λαμβάνει μέτρα για την παράκαμψη των προστασιών AMSI και ETW.
Το Venom RAT επιτρέπει στους εισβολείς να πάρουν τον έλεγχο των παραβιασμένων συστημάτων, να συλλέγουν ευαίσθητες πληροφορίες και να εκτελούν εντολές που λαμβάνονται από έναν command-and-control (C2) server.
Δείτε επίσης: Νέα phishing καμπάνια διανέμει το Rhadamanthys malware
“Ενώ το κύριο πρόγραμμα του Venom RAT μπορεί να φαίνεται απλό, διατηρεί κανάλια επικοινωνίας με τον διακομιστή C2 για να αποκτήσει πρόσθετα plugins για διάφορες δραστηριότητες“, δήλωσε η ερευνήτρια ασφαλείας Cara Lin. Αυτά περιλαμβάνουν τα Venom RAT v6.0.3 με δυνατότητες keylogger, NanoCore RAT, XWorm και Remcos RAT.
“Το plugin Remcos RAT διανεμήθηκε από το C2 του VenomRAT χρησιμοποιώντας τρεις μεθόδους: ένα obfuscated VBS script με το όνομα “remcos.vbs”, το ScrubCrypt και το Guloader PowerShell“, πρόσθεσε η Lin.
Ένα από τα malware, που χρησιμοποιούνται, εξάγει δεδομένα από φακέλους που σχετίζονται με πορτοφόλια και εφαρμογές όπως τα Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (αποσύρθηκε από τον Μάρτιο του 2023), Zcash, Foxmail και Telegram σε απομακρυσμένο διακομιστή.
“Αυτή η ανάλυση αποκαλύπτει μια εξελιγμένη επίθεση που αξιοποιεί πολλαπλά επίπεδα τεχνικών obfuscation και αποφυγής ανάλυσης για τη διανομή και εκτέλεση του VenomRAT μέσω του ScrubCrypt“, είπε η Lin.
“Οι εισβολείς χρησιμοποιούν μια ποικιλία μεθόδων, όπως phishing emails με κακόβουλα συνημμένα, obfuscated script files και Guloader PowerShell, για να διεισδύσουν και να παραβιάσουν συστήματα θυμάτων. Επιπλέον, η ανάπτυξη plugins μέσω διαφορετικών payloads υπογραμμίζει την ευελιξία και την προσαρμοστικότητα της εκστρατείας“.
Δείτε επίσης: Η Google αποκλείει spoofed emails για προστασία από phishing
Προστασία από phishing και malware
Η πρώτη και πιο σημαντική μέθοδος προστασίας είναι η ενημέρωση και η εκπαίδευση. Οι χρήστες πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι για να διαδώσουν το malware ώστε να μπορούν να τις αναγνωρίσουν και να τις αποφύγουν.
Η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας είναι άλλη μία βασική μέθοδος προστασίας από malware, όπως το Venom RAT. Αυτό το λογισμικό πρέπει να περιλαμβάνει antivirus, anti-spyware και anti-malware λειτουργίες, καθώς και προστασία από phishing.
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές ενημερωμένες. Οι ενημερώσεις περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις τελευταίες απειλές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να προστατεύσει τα δεδομένα σας από την κλοπή. Επίσης, η χρήση διαχειριστή κωδικών πρόσβασης μπορεί να βοηθήσει στη διαχείριση και την ασφάλεια των κωδικών πρόσβασης.
Τέλος, η προσεκτική αλληλεπίδραση με τα ηλεκτρονικά μηνύματα και τα συνημμένα αρχεία είναι ζωτικής σημασίας. Ποτέ μην ανοίγετε συνημμένα ή κάνετε κλικ σε συνδέσμους από άγνωστες πηγές γιατί μπορεί να περιέχουν malware.
Πηγή: thehackernews.com