Hakeri koriste legitimni injektor zasnovan na Rust-u pod nazivom Freeze[.]rs da bi implementirali maliciozni softver pod nazivom XWorm u okruženjima žrtava.
Novi lanac napada, koji je otkrio Fortinet FortiGuard Labs 13. jula 2023. godine, pokrenut je putem phishing e-pošte koja sadrži miniranu PDF datoteku. Također je korišten za uvođenje Remcos RAT-a pomoću kriptera pod nazivom SYK Crypter, koji je prvi dokumentirao Morphisec u maju 2022.
“Ova datoteka se preusmjerava na HTML datoteku i koristi ‘search-ms’ protokol za pristup LNK datoteci na udaljenom serveru”, rekla je istraživač sigurnosti Cara Lin . “Kada kliknete na LNK datoteku, PowerShell skripta izvršava Freeze[.]rs i SYK Crypter za dalje ofanzivne akcije.”
Freeze[.]rs, objavljen 4. maja 2023. godine, je open-source crveni alat za timovanje iz Optiva koji funkcioniše kao alat za kreiranje korisnog opterećenja koji se koristi za zaobilaženje bezbjednosnih rješenja i izvršavanje shellcode-a na prikriven način.
“Freeze[.]rs koristi više tehnika ne samo da ukloni Userland EDR kuke, već i da izvrši shellcode na takav način da zaobiđe druge kontrole nadzora krajnjih tačaka”, prema opisu podijeljenom na GitHub-u.
SYK Crypter, s druge strane, je alat koji se koristi za distribuciju širokog spektra porodica malicioznog softvera kao što su AsyncRAT, NanoCore RAT, njRAT, QuasarRAT, RedLine Stealer i Warzone RAT (aka Ave Maria). Preuzet je iz Discord mreže za isporuku sadržaja (CDN) pomoću .NET učitavača prikačenog na e-poruke koje se maskiraju kao benigne narudžbenice.
“Ovaj lanac napada isporučuje kriptator koji je postojan, ima više slojeva zamagljivanja i koristi polimorfizam kako bi održao svoju sposobnost izbjegavanja otkrivanja sigurnosnim rješenjima”, objasnio je istraživač Morphisec-a Hido Cohen .
![Novo upozorenje o napadu: Freeze[.]rs Injector naoružan za XWorm malware napade - Kiber.ba](https://3.121.172.187/wp-content/uploads/2023/08/Novo-upozorenje-o-napadu-Freeze.rs-Injector-naoruzan-za-XWorm-malware-napade-2.jpeg)
Vrijedi napomenuti da je Trellix nedavno istaknuo zloupotrebu rukovaoca URI protokolom “search-ms” , koji je otkrio sekvence infekcije koje nose HTML ili PDF priloge za pokretanje pretraživanja na serveru koji kontroliše haker i navođenje malicioznih datoteka u Windows File Exploreru kao da su lokalni rezultati pretraživanja.
Nalazi iz Fortineta se ne razlikuju po tome što su datoteke kamuflirane kao PDF datoteke, ali su zapravo LNK datoteke koje izvršavaju PowerShell skriptu za pokretanje injektora zasnovanog na Rust-u, dok prikazuju lažni PDF dokument.
U završnoj fazi, ubrizgani shellcode se dešifruje kako bi se izvršio trojanac za daljinski pristup XWorm i prikupili osjetljivi podaci, kao što su informacije o mašini, snimci ekrana i tipki, te daljinski kontrolirao kompromitovani uređaj.
Činjenica da se tromjesečni program već koristi oružjem u napadima simbolizira brzo usvajanje ofanzivnih alata od strane hakera kako bi ispunili svoje ciljeve.
To nije sve. PowerShell skripta, osim učitavanja injektora, konfigurisana je za pokretanje još jednog izvršnog fajla, koji funkcionira kao dropper kontaktiranjem udaljenog servera kako bi dohvatio SYK Crypter koji sadrži šifrirani Remcos RAT malver.
“Kombinacija XWorm-a i Remcos-a stvara zastrašujuće trojance sa nizom malicioznih funkcionalnosti,” rekao je Lin. “Izvještaj o prometu C2 servera […] otkriva Evropu i Sjevernu Ameriku kao primarne mete ove maliciozne kampanje.”
Izvor: The Hacker News
