Μια νέα παραλλαγή του RomCom malware, με το όνομα SnipBot, διεισδύει σε δίκτυα και κλέβει δεδομένα από παραβιασμένα συστήματα.
Το SnipBot ανακαλύφθηκε από ερευνητές της Unit 42 της Palo Alto Networks, μετά από ανάλυση ενός DLL module που χρησιμοποιείται στις εν λόγω επιθέσεις.
Οι τελευταίες καμπάνιες SnipBot στοχεύουν διάφορους τομείς, συμπεριλαμβανομένων των υπηρεσιών πληροφορικής, των νομικών υπηρεσιών και της γεωργίας.
RomCom malware
Το RomCom είναι ένα backdoor το οποίο έχει χρησιμοποιηθεί για την παράδοση του Cuba ransomware, καθώς και για στοχευμένες επιθέσεις phishing.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Η προηγούμενη έκδοσή του, που ονομάστηκε RomCom 4.0 από τους ερευνητές της Trend Micro, περιελάμβανε διάφορες δυνατότητες, συμπεριλαμβανομένης της εκτέλεσης εντολών, της κλοπής αρχείων, της εγκατάστασης νέων κακόβουλων payloads, της τροποποίησης του Windows registry και της χρήσης του TLS protocol για επικοινωνίες εντολών και ελέγχου (C2).
Δείτε επίσης: White Snake: Κλέβει κωδικούς CVC πιστωτικών καρτών στο Chrome
Οι ερευνητές πιστεύουν ότι η νέα έκδοση SnipBot είναι το RomCom 5.0 και χρησιμοποιεί 27 εντολές. Αυτές οι εντολές δίνουν στους επιτιθέμενους πιο λεπτομερή έλεγχο των λειτουργιών κλοπής δεδομένων, επιτρέποντας τη στόχευση συγκεκριμένων τύπων αρχείων ή καταλόγων, τη συμπίεση των κλεμμένων δεδομένων χρησιμοποιώντας το εργαλείο αρχειοθέτησης αρχείων 7-Zip και την εισαγωγή archive payloads που θα εξάγονται στον κεντρικό υπολογιστή.
Επιπλέον, το SnipBot χρησιμοποιεί προηγμένες τεχνικές obfuscation για αποφυγή της ανίχνευσης.
Το κύριο module του SnipBot, “single.dll“, αποθηκεύεται σε κρυπτογραφημένη μορφή στο Windows Registry από όπου φορτώνεται στη μνήμη. Πρόσθετα modules που έχουν ληφθεί από τον διακομιστή C2, όπως το “keyprov.dll“, αποκρυπτογραφούνται και εκτελούνται και αυτά στη μνήμη.
Οι ερευνητές της Unit 42 ανέλυσαν υποβολές VirusTotal, κάτι που τους επέτρεψε να ανακαλύψουν τον αρχικό φορέα μόλυνσης.
Η επίθεση ξεκινά, συνήθως, με phishing emails που περιέχουν συνδέσμους για λήψη φαινομενικά αβλαβών αρχείων, όπως έγγραφα PDF.
Επίσης, παλιότερα είχε χρησιμοποιηθεί ένας ψεύτικος ιστότοπος της Adobe από όπου το θύμα υποτίθεται ότι θα κατεβάσει μια γραμματοσειρά για να μπορεί να διαβάσει το συνημμένο αρχείο PDF.
Με τον έναν ή τον άλλον τρόπο, ενεργοποιείται μια σειρά από ανακατευθύνσεις σε πολλά domains, που βρίσκονται υπό τον έλεγχο του εισβολέα (“fastshare[.]click”, “docstorage[.]link” και “publicshare[.]link”). Τελικά, εγκαθίσταται ένα κακόβουλο εκτελέσιμο πρόγραμμα λήψης από file-sharing πλατφόρμες, όπως “temp[.]sh”.
Δείτε επίσης: Ajina.Banker: Νέο Android malware κλέβει οικονομικά στοιχεία
Τα προγράμματα λήψης συχνά υπογράφονται με νόμιμα πιστοποιητικά, ώστε να μην εμφανίζονται προειδοποιήσεις από τα εργαλεία ασφαλείας, κατά την ανάκτηση εκτελέσιμων αρχείων DLL από το C2.
Μια κοινή τακτική για τη φόρτωση αυτών των payloads είναι η χρήση του COM hijacking για την εισαγωγή τους στο “explorer.exe“.
Μετά την παραβίαση ενός συστήματος και τη μόλυνση με το SnipBot malware, ο επιτιθέμενος συλλέγει πληροφορίες σχετικά με το εταιρικό δίκτυο και το domain controller. Στη συνέχεια, κλέβει συγκεκριμένους τύπους αρχείων από τους καταλόγους Documents, Downloads και OneDrive.
Οι ερευνητές λένε ότι ακολουθεί μια δεύτερη φάση ανακάλυψης, με το βοηθητικό πρόγραμμα AD Explorer που επιτρέπει την προβολή και την επεξεργασία του Active Directory (AD) καθώς και την πλοήγηση στη βάση δεδομένων AD.
Τα στοχευμένα δεδομένα εξάγονται με χρήση του PuTTY Secure Copy client, μετά την αρχειοθέτησή τους με το WinRAR.
Προστασία από info-stealer malware
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν info-stealer.
Δείτε επίσης: StealC malware: Κατάχρηση του kiosk mode του browser για κλοπή credentials
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.
Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: www.bleepingcomputer.com