Ο φορτωτής κακόβουλου λογισμικού με την ονομασία MintsLoader έχει χρησιμοποιηθεί για την παράδοση ενός απομακρυσμένου trojan βασισμένου σε PowerShell, γνωστού ως GhostWeaver. Εκστρατείες ηλεκτρονικού phishing και λήψεων μέσω κακόβουλων ιστότοπων (drive-by downloads) που διανέμουν το MintsLoader έχουν εντοπιστεί από τις αρχές του 2023, σύμφωνα με την Orange Cyberdefense.
Δείτε επίσης: Phishing καμπάνια στοχεύει διαχειριστές WooCommerce
Ο φορτωτής έχει παρατηρηθεί να παραδίδει διάφορα κακόβουλα φορτία, όπως το StealC και μια τροποποιημένη έκδοση του προγράμματος-πελάτη BOINC (Berkeley Open Infrastructure for Network Computing). Το κακόβουλο λογισμικό έχει επίσης χρησιμοποιηθεί από κυβερνοεγκληματίες που λειτουργούν υπηρεσίες e-crime όπως οι SocGholish (γνωστοί και ως FakeUpdates) και LandUpdate808 (γνωστοί και ως TAG-124), οι οποίοι διανέμουν τα φορτία μέσω phishing emails που στοχεύουν τους τομείς της βιομηχανίας, της νομικής και της ενέργειας, καθώς και μέσω ψεύτικων προτροπών ενημέρωσης προγραμμάτων περιήγησης.
Σε μια αξιοσημείωτη εξέλιξη, πρόσφατα κύματα επιθέσεων αξιοποιούν την ολοένα και πιο συχνή τεχνική social engineering που ονομάζεται ClickFix, προκειμένου να παραπλανήσουν επισκέπτες ιστοσελίδων ώστε να αντιγράψουν και να εκτελέσουν κακόβουλο κώδικα JavaScript και PowerShell. Οι σύνδεσμοι προς τις σελίδες του ClickFix διανέμονται μέσω ανεπιθύμητων (spam) emails.
Δείτε ακόμα: Νέα phishing emails μιμούνται τη Google για κλοπή credentials
Αυτά τα χαρακτηριστικά, σε συνδυασμό με τεχνικές παρεμπόδισης και απόκρυψης (obfuscation), επιτρέπουν στους κυβερνοεγκληματίες να δυσχεραίνουν την ανάλυση και να περιπλέκουν την ανίχνευση της απειλής. Ο βασικός ρόλος του κακόβουλου λογισμικού είναι να κατεβάζει το επόμενο στάδιο του κακόβουλου φορτίου από έναν τομέα που δημιουργείται μέσω DGA (Domain Generation Algorithm), χρησιμοποιώντας ένα PowerShell script μέσω HTTP.
Το GhostWeaver, σύμφωνα με αναφορά της TRAC Labs τον Φεβρουάριο, έχει σχεδιαστεί ώστε να διατηρεί επίμονη επικοινωνία με τον διακομιστή εντολών και ελέγχου (C2), να δημιουργεί τομείς DGA με βάση έναν αλγόριθμο σταθερού seed που χρησιμοποιεί την εβδομάδα και το έτος, και να παραδίδει επιπλέον κακόβουλα φορτία υπό τη μορφή plugins που μπορούν να υποκλέψουν δεδομένα από προγράμματα περιήγησης και να τροποποιήσουν περιεχόμενο HTML.
Αυτή η αποκάλυψη έρχεται στο φως καθώς η Kroll γνωστοποίησε ότι απειλητικοί παράγοντες επιχειρούν να αποκτήσουν αρχική πρόσβαση μέσω μιας συνεχιζόμενης εκστρατείας με την κωδική ονομασία CLEARFAKE, η οποία αξιοποιεί την τεχνική ClickFix για να παρασύρει τα θύματα στην εκτέλεση εντολών MSHTA, που τελικά εγκαθιστούν το κακόβουλο λογισμικό Lumma Stealer.
Δείτε επίσης: Προσοχή – phishing email περνάει τους ελέγχους των Google και Gmail
Ένα σχετικό στοιχείο με τα παραπάνω είναι ότι τεχνικές όπως το Domain Generation Algorithm (DGA) καθιστούν την ανίχνευση και το μπλοκάρισμα της επικοινωνίας με C2 servers ιδιαίτερα δύσκολη. Οι DGA τομείς αλλάζουν συνεχώς και δημιουργούνται δυναμικά, πράγμα που σημαίνει ότι οι παραδοσιακές μέθοδοι φιλτραρίσματος μέσω blacklists δεν επαρκούν. Επιπλέον, η χρήση εργαλείων όπως το PowerShell και το MSHTA αποτελεί δημοφιλή τακτική για την παράκαμψη λύσεων antivirus, καθώς πρόκειται για νόμιμα εργαλεία των Windows που, όταν χρησιμοποιούνται κακόβουλα, συχνά δεν ανιχνεύονται αμέσως.
Πηγή: thehackernews
