Οι ειδικοί στην κυβερνοασφάλεια έχουν εντοπίσει μια ανησυχητική τάση στο τοπίο του κακόβουλου λογισμικού, καθώς οι κυβερνοεγκληματίες χρησιμοποιούν όλο και περισσότερο τεχνικές χωρίς αρχεία (fileless) για να παρακάμψουν τα παραδοσιακά μέτρα ασφαλείας, όπως το shellcode.
Δείτε επίσης: Ψεύτικα AI video generators διανέμουν το Noodlophile malware
Ένα προηγμένο εργαλείο φόρτωσης shellcode βασισμένο στο PowerShell, το οποίο εκτελεί το κακόβουλο λογισμικό απομακρυσμένης πρόσβασης Remcos (RAT), αποτελεί το πιο πρόσφατο παράδειγμα αυτής της εξέλιξης, καταδεικνύοντας πώς οι επιτιθέμενοι προσαρμόζουν τις μεθόδους τους για να παραμένουν αόρατοι σε παραβιασμένα συστήματα.
Η επίθεση ξεκινά με φαινομενικά αθώα αρχεία ZIP που περιέχουν «οπλισμένα» αρχεία LNK. Μόλις εκτελεστούν, ενεργοποιείται μια αλυσίδα ενεργειών σχεδιασμένων ώστε να αφήνουν ελάχιστα ψηφιακά ίχνη. Τα αρχεία αυτά εκμεταλλεύονται την εκτέλεση μέσω έμπιστων δυαδικών αρχείων του συστήματος για να εξασφαλίσουν επιμονή (persistence), ενώ λειτουργούν σχεδόν εξ ολοκλήρου στη μνήμη, παρακάμπτοντας αποτελεσματικά τους μηχανισμούς εντοπισμού που βασίζονται σε σάρωση αρχείων.
Οι ερευνητές της Qualys εντόπισαν αυτήν την απειλή κατά τη διάρκεια τακτικών ερευνών εντοπισμού απειλών, επισημαίνοντας την εντυπωσιακή ικανότητά της να αποφεύγει τις παραδοσιακές πλατφόρμες προστασίας τελικών σημείων.
Δείτε ακόμα: Οι hackers Earth Kurma στοχεύουν τη Νοτιοανατολική Ασία
Οι επιπτώσεις τέτοιων επιθέσεων υπερβαίνουν την άμεση παραβίαση ενός συστήματος. Μόλις εγκατασταθεί, το Remcos RAT παρέχει στους επιτιθέμενους εκτεταμένες δυνατότητες, όπως καταγραφή οθόνης, καταγραφή πληκτρολογήσεων, κλοπή διαπιστευτηρίων από φυλλομετρητές και αυτοματοποιημένη εξαγωγή δεδομένων. Η διακριτική του λειτουργία επιτρέπει την παραμονή του στο σύστημα για μεγάλα χρονικά διαστήματα, δίνοντας στους κακόβουλους παράγοντες τον χρόνο να επιτύχουν τους στόχους τους χωρίς να γίνονται αντιληπτοί από τους αμυντικούς μηχανισμούς.
Ο κύριος τρόπος μόλυνσης βασίζεται σε κακόβουλα συνημμένα email που παρουσιάζονται ως φορολογικά έγγραφα. Όταν ανοιχτούν, ενεργοποιείται μια πολύπλοκη αλυσίδα εκτέλεσης, η οποία καταλήγει στη φόρτωση του Remcos RAT απευθείας στη μνήμη, χωρίς να αποθηκεύεται το κακόβουλο φορτίο στον δίσκο.
Το αρχικό αρχείο LNK εντοπίστηκε και απομακρύνθηκε από την πλατφόρμα προστασίας τελικών σημείων (EPP) της Qualys, αποτρέποντας την εγκατάσταση της μόλυνσης.
Δείτε επίσης: Οι hackers Paper Werewolf στοχεύουν τη Ρωσία με το PowerModul
Βάσει των παραπάνω, γίνεται ξεκάθαρο ότι οι σύγχρονες επιθέσεις κακόβουλου λογισμικού έχουν εξελιχθεί σημαντικά, υιοθετώντας τεχνικές που καθιστούν τον εντοπισμό τους ιδιαίτερα δύσκολο. Οι τεχνικές fileless επιθέσεων, όπως αυτή με το Remcos RAT, αποτελούν σοβαρή απειλή για οργανισμούς και επιχειρήσεις, καθώς εκτελούνται κυρίως στη μνήμη και αποφεύγουν την αποθήκευση ύποπτων αρχείων στον δίσκο — κάτι που καθιστά αναποτελεσματικούς τους παραδοσιακούς μηχανισμούς προστασίας.
Πηγή: cybersecuritynews
