ΑρχικήSecurityHackers εκμεταλλεύονται το Webview2 για παράδοση του malware CoinLurker

Hackers εκμεταλλεύονται το Webview2 για παράδοση του malware CoinLurker

Ψεύτικες ειδοποιήσεις περί ενημέρωσης λογισμικού χρησιμοποιούνται από κακόβουλους hackers για την παράδοση ενός νέου malware, που ονομάζεται CoinLurker. Η διαδικασία περιλαμβάνει και την κατάχρηση του Webview2.

CoinLurker malware Webview2

Γραμμένο σε Go, το CoinLurker χρησιμοποιεί πρωτοποριακές τεχνικές obfuscation και αντι-ανάλυσης, που το καθιστούν ένα εξαιρετικά αποτελεσματικό εργαλείο στις σύγχρονες επιθέσεις στον κυβερνοχώρο“, δήλωσε ο ερευνητής της Morphisec, Nadav Lorber.

Advertisement

Οι επιθέσεις χρησιμοποιούν πλαστές ειδοποιήσεις ενημέρωσης λογισμικού. Μπορεί να παρουσιάζονται σαν ειδοποιήσεις ενημέρωσης σε παραβιασμένους ιστότοπους WordPress, να γίνονται ανακατευθύνσεις μέσω malvertising, να στέλνονται σχετικά μηνύματα phishing που συνδέονται με πλαστές σελίδες ενημέρωσης, να εμφανίζονται πλαστά μηνύματα επαλήθευσης CAPTCHA, να γίνονται άμεσες λήψεις από ψευδείς ή μολυσμένους ιστότοπους κ.ά.

Δείτε επίσης: Hackers χρησιμοποιούν το Yokai Malware

Το Hubble βρήκε νεογέννητα αστέρια στο νεφέλωμα του Ωρίωνα

SecNewsTV 9 hours ago

Ανεξάρτητα από τη μέθοδο που χρησιμοποιείται για την εκκίνηση της αλυσίδας μόλυνσης, οι ειδοποιήσεις ενημέρωσης χρησιμοποιούν το Microsoft Edge Webview2 για να ενεργοποιήσουν την εκτέλεση του κακόβουλου payload.

Η εξάρτηση του Webview2 από προεγκατεστημένα στοιχεία και αλληλεπίδραση με τον χρήστη περιπλέκει τη δυναμική ανάλυση και την ανάλυση sandbox“, είπε ο Lorber. “Τα Sandboxes συχνά στερούνται Webview2 ή αποτυγχάνουν να αναπαράγουν τις ενέργειες του χρήστη, επιτρέποντας στο κακόβουλο λογισμικό να αποφύγει τον αυτοματοποιημένο εντοπισμό“.

Μία από τις προηγμένες τακτικές αυτών των επιθέσεων είναι η χρήση μιας τεχνικής που ονομάζεται EtherHiding, στην οποία οι παραβιασμένοι ιστότοποι μολύνονται με scripts που είναι σχεδιασμένα να προσεγγίζουν την υποδομή Web3 προκειμένου να ανακτήσουν το τελικό payload από ένα Bitbucket repository. Το payload παρουσιάζεται σαν νόμιμο εργαλείο (π.χ. “UpdateMe.exe”, “SecurityPatch.exe”) για να εξαπατήσει το χρήστη.

Αυτά τα εκτελέσιμα, με τη σειρά τους, υπογράφονται με ένα νόμιμο αλλά κλεμμένο πιστοποιητικό Extended Validation (EV), προσθέτοντας έτσι ένα άλλο επίπεδο εξαπάτησης και παρακάμπτοντας τα προστατευτικά κιγκλιδώματα. Στο τελικό βήμα, το “multi-layered injector” χρησιμοποιείται για την ανάπτυξη του payload στο Microsoft Edge (“msedge.exe”) process.

Το CoinLurker malware μπορεί να κρύψει τις ενέργειές του και να περιπλέξει την ανάλυση. Έχει σχεδιαστεί για να ελέγχει εάν το μηχάνημα έχει ήδη παραβιαστεί, αποκωδικοποιώντας το payload απευθείας στη μνήμη κατά τη διάρκεια του χρόνου εκτέλεσης και λαμβάνοντας μέτρα για την απόκρυψη της διαδρομής εκτέλεσης του προγράμματος.

Δείτε επίσης: Το DDoS Malware “cShell” αξιοποιεί εργαλεία Linux για να στοχεύσει SSH servers

Αυτή η προσέγγιση διασφαλίζει ότι το κακόβουλο λογισμικό αποφεύγει την ανίχνευση, αναμειγνύεται άψογα με τη νόμιμη δραστηριότητα του συστήματος και παρακάμπτει τους κανόνες ασφάλειας δικτύου“, σημείωσε η Morphisec.

Μόλις ενεργοποιηθεί, το CoinLurker malware ξεκινά επικοινωνίες με έναν απομακρυσμένο διακομιστή και προχωρά στη συλλογή δεδομένων από συγκεκριμένους καταλόγους που σχετίζονται με cryptocurrency wallets (δηλαδή Bitcoin, Ethereum, Ledger Live και Exodus), καθώς και με τα Telegram, Discord και FileZilla.

ειδοποιήσεις ενημέρωσης λογισμικού

Προστασία από malware

Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.

Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν malware.

Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.

Δείτε επίσης: Η ομάδα Bitter στοχεύει τον αμυντικό τομέα με τα WmRAT και MiyaRAT malware

Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.

Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας έναντι του malware. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.

Πηγή: thehackernews.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS