Ρώσσοι hackers χρησιμοποιούν το EFF Website για τη διάδοση malware – To Operation Pawn Storm στοχεύει τώρα τους EFF readers – Το Electronic Frontier Foundation (EFF) έχει σημάνει συναγερμό, προειδοποιώντας τους χρήστες του να είναι ιδιαίτερα προσεκτικοί για μια καμπάνια spear phishing email που μολύνει τα θύματά της με το Sednit malware.
Υπέπεσε στην αντίληψη του EFF με τη βοήθεια της ομάδας ασφαλείας της Google, αφότου στο domain electronicfrontierfoundation.org εντόπισε κάτι επικίνδυνο κατά την διάρκεια ενός από τα scans ρουτίνας. Το επίσημο EFF domain name είναι eff.org.
Η καμπάνια Spear phishing οδηγεί στο Sednit malware
Παρουσιάζοντας την ανάλυση της επίθεσης, ο Cooper Quintin του EFF αναλύει πώς οι παραλήπτες των spear phishing emails παρασύρονται σε μια ιστοσελίδα που χρησιμοποιεί το domain electronicfrontierfoundation.org, η οποία, δυστυχώς, έμεινε unregistered από τον οργανισμό. Τόσο τα emails όσο και το domain χρησιμοποιούν το επίσημο EFF branding.
Όταν βρεθεί ο χρήστης στο domain του χάκερ, ανακατευθύνεται αυτόματα σε μια σελίδα που χρησιμοποιεί μια τυχαία διεύθυνση URL, όπου ένα Java applet είναι φορτωμένο.
Όταν φορτωθεί το payload, η τυχαία διεύθυνση URL απενεργοποιείται, για να εμποδίσει τις προσπάθειες των αναλυτών ασφάλειας. Αυτό το payload, από τη στιγμή που βρεθεί στον υπολογιστή του χρήστη, χρησιμοποιεί ένα Java zero-day exploit, που ανακαλύφθηκε πρόσφατα, για να φορτώσει ένα δεύτερο payload, ένα δυαδικό αρχείο που περιέχει κακόβουλο κώδικα που λειτουργεί με τον ίδιο τρόπο όπως και το πρόσφατο Sednit κακόβουλο λογισμικό που χρησιμοποιήθηκε στις επιθέσεις Operation Pawn Storm.
Σύνδεση με τη ρωσική κυβέρνηση
Όπως προηγουμένως έχει διερευνηθεί από τους ερευνητές της Trend Micro, η Operation Pawn Storm φαίνεται να είναι το έργο μιας ομάδας hacking στενά συνδεδεμένης με τη ρωσική κυβέρνηση.
Προηγούμενα θύματα της Operation Pawn Storm περιλαμβάνουν χρηματοπιστωτικά ιδρύματα της Δύσης, δυνάμεις του ΝΑΤΟ, τον Λευκό Οίκο, την πολωνική κυβέρνηση, καθώς και διάφορες ρώσους δημοσιογράφους, όλοι τους επικριτές του καθεστώτος του Κρεμλίνου.
Στοχοποιώντας την σελίδα του EFF, οι χάκερ πίσω από την πρόσφατη εκστρατεία phishing ελπίζουν να συγκεντρώσουν πληροφορίες από τους αντιφρονούντες της ρώσικης κυβέρνησης που επισκέπτονται τακτικά το EFF website, που είναι γνωστή για την έκθεση πολλών από των καταχρήσεων της ρωσικής κυβέρνησης.
Ανάλυση EFF phishing campaign (3 εικόνες)
