Μια νέα καμπάνια που παρακολουθείται ως “Dev Popper” στοχεύει προγραμματιστές λογισμικού με ψεύτικες συνεντεύξεις για δουλειά σε μια προσπάθεια να τους ξεγελάσει ώστε να εγκαταστήσουν ένα Python RAT.
Δείτε επίσης: Ρωσία: Το Konni RAT διαδίδεται από το λογισμικό της κυβέρνησης
Ζητάει από τους προγραμματιστές να εκτελέσουν εργασίες που υποτίθεται ότι σχετίζονται με τη συνέντευξη, όπως η λήψη και η εκτέλεση κώδικα από το GitHub, σε μια προσπάθεια να κάνουν όλη τη διαδικασία να φαίνεται νόμιμη. Ωστόσο, ο στόχος των hacker είναι να τους κάνει να κατεβάσουν κακόβουλο λογισμικό που συλλέγει πληροφορίες συστήματος και επιτρέπει την απομακρυσμένη πρόσβαση στον κεντρικό υπολογιστή.
Σύμφωνα με αναλυτές της Securonix, η εκστρατεία που διανέμει το Python RAT, πιθανότατα ενορχηστρώνεται από βορειοκορεάτες hackers, με βάση τις τακτικές που ακολουθούν. Ωστόσο, οι συνδέσεις δεν είναι αρκετά ισχυρές για να είναι απόλυτα σίγουρο.
Αλυσίδα μόλυνσης πολλαπλών σταδίων
Οι επιθέσεις «Dev Popper» περιλαμβάνουν μια αλυσίδα μόλυνσης πολλαπλών σταδίων, που βασίζεται στo social engineering, που έχει σχεδιαστεί για να εξαπατήσει στόχους μέσω μιας διαδικασίας προοδευτικής παραβίασης.
Δείτε ακόμα: Το Remcos RAT διανέμεται μέσω παιχνιδιών για ενήλικες
Οι εισβολείς ξεκινούν την διαδικασία διάδοσης του Python RAT, παρουσιάζοντας τον ευατό τους ως εργοδότες, που θέλουν να καλύψουν θέσεις προγραμματιστή λογισμικού. Κατά τη διάρκεια της συνέντευξης, οι υποψήφιοι καλούνται να κατεβάσουν και να εκτελέσουν αυτό που παρουσιάζεται ως τυπική εργασία κωδικοποίησης από ένα αποθετήριο GitHub. Το αρχείο είναι ένα ZIP που περιέχει ένα πακέτο NPM, το οποίο έχει ένα README.md καθώς και καταλόγους frontend και backend.
Μόλις ο προγραμματιστής τρέξει το πακέτο NPM, ενεργοποιείται ένα αρχείο JavaScript (“imageDetails.js”) που είναι κρυμμένο μέσα στον κατάλογο υποστήριξης, εκτελώντας εντολές “curl
” μέσω της διαδικασίας Node.js για λήψη ενός πρόσθετου αρχείου (“p.zi”) από εξωτερικό διακομιστή. Μέσα στο αρχείο βρίσκεται το ωφέλιμο φορτίο επόμενου σταδίου, ένα σενάριο Python (“npl”) που λειτουργεί ως RAT.Μόλις το Python RAT είναι ενεργό στο σύστημα του θύματος, συλλέγει και στέλνει βασικές πληροφορίες συστήματος στον διακομιστή εντολών και ελέγχου (C2), συμπεριλαμβανομένων του τύπου λειτουργικού συστήματος, του ονόματος κεντρικού υπολογιστή και των δεδομένων δικτύου.
Δείτε επίσης: Το Remcos RAT διαδίδεται μέσω νέας έκδοσης του IDAT loader
Πώς λειτουργούν τα Remote Access Trojans;
Τα Remote Access Trojans (RATs), όπως το Python RAT, είναι κακόβουλα λογισμικά που επιτρέπουν στους επιτιθέμενους να αποκτήσουν πρόσβαση και να ελέγξουν τον υπολογιστή του θύματος από απόσταση. Αυτό επιτυγχάνεται μέσω της εγκατάστασης του RAT στον στόχο, συνήθως μέσω της χρήσης τεχνικών όπως το phishing ή η εκμετάλλευση των αδυναμιών του συστήματος. Μόλις εγκατασταθεί, το RAT μπορεί να εκτελέσει μια σειρά λειτουργιών χωρίς τη γνώση του χρήστη. Αυτές μπορεί να περιλαμβάνουν την κλοπή προσωπικών δεδομένων, την εγκατάσταση άλλου κακόβουλου λογισμικού, την αλλαγή των ρυθμίσεων του συστήματος ή ακόμη και την απενεργοποίηση των συστημάτων ασφαλείας.Τα RATs είναι επίσης γνωστά για την ικανότητά τους να δημιουργούν ‘backdoors’ στο σύστημα του θύματος, παρέχοντας στους επιτιθέμενους μόνιμη πρόσβαση ακόμη και αν τα αρχικά κακόβουλα λογισμικά αφαιρεθούν.
Πηγή: bleepingcomputer