ΑρχικήSecurityΚακόβουλος κώδικας σε εικόνες διανέμει τα VIP Keylogger & 0bj3ctivity malware

Κακόβουλος κώδικας σε εικόνες διανέμει τα VIP Keylogger & 0bj3ctivity malware

H HP Wolf Security έχει εντοπίσει δύο καμπάνιες, όπου hackers αποκρύπτουν κακόβουλο κώδικα σε εικόνες και μολύνουν θύματα με τα VIP Keylogger και 0bj3ctivity Stealer malware.

κακόβουλος κώδικας εικόνα

Και στις δύο καμπάνιες, οι εισβολείς έκρυψαν κακόβουλο κώδικα σε εικόνες που ανέβασαν στο archive[.]org, έναν ιστότοπο που φιλοξενεί αρχεία. Χρησιμοποίησαν το ίδιο πρόγραμμα φόρτωσης .NET για να εγκαταστήσουν τα τελικά payloads“, δήλωσε η HP Wolf Security στην έκθεσή της Threat Insights Report for Q3 2024.

VIP Keylogger

Οι επιθέσεις ξεκινούν με ένα phishing email που έχει ως θέμα τιμολόγια και εντολές αγοράς. Οι παραλήπτες καλούνται να ανοίξουν κακόβουλα συνημμένα, όπως έγγραφα του Microsoft Excel. Όταν ανοίξουν αυτά τα έγγραφα, γίνεται εκμετάλλευση μιας ευπάθειας στο Equation Editor (CVE-2017-11882) για λήψη ενός αρχείου VBScript.

Advertisement

Το script έχει σχεδιαστεί για να αποκωδικοποιεί και να εκτελεί ένα PowerShell script το οποίο ανακτά μια εικόνα που φιλοξενείται στο archive[.]org και εξάγει έναν Base64-encoded code. Αυτός, στη συνέχεια, αποκωδικοποιείται σε ένα εκτελέσιμο αρχείο .NET και εκτελείται.

Δείτε επίσης: Το MikroTik botnet χρησιμοποιεί εγγραφές SPF DNS για τη διάδοση malware

Το εκτελέσιμο αρχείο .NET χρησιμεύει ως loader για τη λήψη του VIP Keylogger malware από μια διεύθυνση URL. Επιτρέπει, επίσης, την εκτέλεσή του, η οποία οδηγεί σε κλοπή διαφόρων δεδομένων από τα μολυσμένα συστήματα (πληκτρολογήσεις, περιεχόμενα προχείρου, screenshots και credentials).

0bj3ctivity Stealer malware

Η δεύτερη καμπάνια, που είναι παρόμοια, ξεκινά επίσης με phishing emails που περιέχουν κακόβουλα archive files. Αυτά τα μηνύματα, τα οποία παρουσιάζονται ως αιτήματα για προσφορές, προσπαθούν να παρασύρουν τους επισκέπτες να ανοίξουν ένα αρχείο JavaScript μέσα στο archive. Στη συνέχεια, εκτελείται ένα PowerShell script.

Το PowerShell script πραγματοποιεί λήψη μιας εικόνας από έναν απομακρυσμένο διακομιστή, αναλύει τον κώδικα και εκτελεί το πρόγραμμα φόρτωσης σε .NET (που χρησιμοποιείται και στην εκστρατεία VIP Keylogger). Ωστόσο, αυτή η αλυσίδα επίθεσης καταλήγει στην παροχή του 0bj3ctivity Stealer malware.

Η HP Wolf Security παρατήρησε ότι οι hackers καταφεύγουν και σε τεχνικές HTML smuggling για την εγκατάσταση του XWorm remote access trojan (RAT), μέσω ενός AutoIt dropper.

Δείτε επίσης: ΗΠΑ: Το FBI αφαίρεσε το PlugX malware από χιλιάδες υπολογιστές

Ιδιαίτερα, τα αρχεία HTML έφεραν χαρακτηριστικά που υποδηλώνουν ότι είχαν γραφτεί με τη βοήθεια του GenAI“, είπε η HP. “Η δραστηριότητα δείχνει την αυξανόμενη χρήση του GenAI στα στάδια αρχικής πρόσβασης και παράδοσης κακόβουλου λογισμικού“.

Τέλος, οι hackers φαίνεται να δημιουργούν GitHub repositories που διαφημίζουν video game cheat και modification tools προκειμένου να αναπτύξουν το κακόβουλο λογισμικό Lumma Stealer χρησιμοποιώντας ένα .NET dropper.

VIP Keylogger 0bj3ctivity malware
Κακόβουλος κώδικας σε εικόνες διανέμει τα VIP Keylogger & 0bj3ctivity malware

Προστασία από malware

Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.

Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν malware.

Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.

Δείτε επίσης: WP3.XYZ malware: Προσθέτει δόλιους διαχειριστές σε 5.000+ ιστότοπους WordPress

Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.

Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας έναντι του malware. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.

Πηγή: thehackernews.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS