Μια εξελιγμένη εκστρατεία επιθέσεων, στοχεύει οργανισμούς στην Ιαπωνία και σε άλλες χώρες της Ανατολικής Ασίας. Ο κακόβουλος παράγοντας, που προσδιορίζεται ως APT-C-60, χρησιμοποιεί μια έξυπνη τακτική social engineering που εκμεταλλεύεται τις διαδικασίες αίτησης εργασίας μέσω Google Drive links, για να διεισδύσει σε εταιρικά δίκτυα και να αναπτύξει κακόβουλο λογισμικό.
Δείτε επίσης: Το Google Drive μόλις απέκτησε μια έκδοση Windows on Arm
Η επίθεση, που εντοπίστηκε για πρώτη φορά τον Αύγουστο του 2024, ξεκίνησε με ένα email ηλεκτρονικού phishing που μεταμφιέστηκε ως αίτηση εργασίας και στάλθηκε στην επαφή πρόσληψης ενός οργανισμού. Το email περιέχει φαινομενικά αβλαβή Google Drive links, στα οποία όταν κάνετε κλικ, ξεκινούν μια πολύπλοκη αλυσίδα μόλυνσης.
Με την πρόσβαση στo σύνδεσmo, τα θύματα κατεβάζουν εν αγνοία τους ένα αρχείο VHDX, μια μορφή εικονικού δίσκου που περιέχει κακόβουλα στοιχεία μαζί με έγγραφα-δόλωμα.
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Most Innovative Robots of CES 2025
Aria: Ένα νέο επαναστατικό Robot Girlfriend
Σύμφωνα με τις συμβουλές της JPCERT/CC, το αρχείο περιλαμβάνει μια συντόμευση των Windows (LNK) που, όταν εκτελείται, ενεργοποιεί την ανάπτυξη ενός προγράμματος λήψης που ονομάζεται “SecureBootUEFI.dat“.
Αυτό το πρόγραμμα λήψης χρησιμοποιεί μια εξελιγμένη τεχνική για τον εντοπισμό μολυσμένων συσκευών. Αξιοποιεί το StatCounter, ένα νόμιμο εργαλείο ανάλυσης ιστού, για τη μετάδοση μοναδικών αναγνωριστικών συσκευών που κωδικοποιούνται σε πεδία παραπομπής HTTP.
Δείτε ακόμα: Η Google θα διευκολύνει την ανάρτηση Notes για αποτελέσματα αναζήτησης
Αυτό επιτρέπει στους εισβολείς να παρακολουθούν και να διαχειρίζονται αποτελεσματικά τα παραβιασμένα συστήματα. Η αλυσίδα μόλυνσης συνεχίζεται καθώς το πρόγραμμα λήψης συνδέεται με το Bitbucket, μια δημοφιλή πλατφόρμα φιλοξενίας κώδικα, για να ανακτήσει επιπλέον κακόβουλα ωφέλιμα φορτία. Το τελευταίο στάδιο της επίθεσης περιλαμβάνει την ανάπτυξη ενός backdoor που ονομάζεται SpyGrace.
Αυτό το κακόβουλο λογισμικό, επί του παρόντος στην έκδοση 3.1.6, δημιουργεί επικοινωνία με έναν διακομιστή εντολών και ελέγχου, επιτρέποντας στους εισβολείς να κλέβουν αρχεία, να φορτώνουν πρόσθετα και να εκτελούν αυθαίρετες εντολές σε μολυσμένα συστήματα.
Για να διασφαλιστεί η επιμονή, το κακόβουλο λογισμικό χρησιμοποιεί τεχνικές COM hijacking, μια μέθοδο που καταχράται τη νόμιμη λειτουργικότητα των Windows για να διατηρήσει τη θέση του σε παραβιασμένες συσκευές.
Δείτε επίσης: Microsoft Office: Πειρατικές εκδόσεις διανέμουν malware
Αυτό που κάνει αυτή την καμπάνια ιδιαίτερα ύπουλη είναι η κατάχρηση αξιόπιστων πλατφορμών και υπηρεσιών. Αξιοποιώντας το Google Drive, το Bitbucket και το StatCounter, οι εισβολείς μπορούν συχνά να παρακάμψουν τα παραδοσιακά μέτρα ασφαλείας που διαφορετικά θα μπορούσαν να ανιχνεύσουν κακόβουλη δραστηριότητα.
Πηγή: cybersecuritynews