Istraživači prijetnji otkrili su novi sofisticirani phishing napad koji sadrži prikriveni zlonamjerni softver za krađu informacija koji eksfiltrira širok spektar osjetljivih podataka.
Ovaj zlonamjerni softver ne cilja samo na tradicionalne tipove podataka poput sačuvanih lozinki, već uključuje i kolačiće sesije, informacije o kreditnoj kartici, ekstenzije povezane s Bitcoinom i historiju pregledavanja.
Prikupljeni podaci se zatim šalju kao komprimovani prilog na udaljeni nalog e-pošte, naglašavajući značajan pomak u mogućnostima krađe informacija.
Metodologija napada
Prema upozorenju koje je objavila Barracuda Networks, napad počinje phishing e-poštom koja primame mami da otvore priloženu datoteku narudžbenice.
Ove e-poruke, koje karakteriziraju gramatičke greške, pojavljuju se s lažne adrese. Prilog sadrži ISO datoteku slike diska, preciznu repliku podataka sa optičkih diskova poput CD-a ili DVD-a. U ovu datoteku slike ugrađena je HTA (HTML aplikacija) datoteka, koja omogućava izvršavanje aplikacija na desktopu bez sigurnosnih ograničenja pretraživača.
Nakon izvršavanja HTA datoteke, aktivira se niz zlonamjernih korisnih podataka. Ova sekvenca počinje preuzimanjem i izvršavanjem zamagljene JavaScript datoteke sa udaljenog servera, koji zatim pokreće PowerShell datoteku koja preuzima ZIP datoteku sa istog servera.
ZIP datoteka sadrži zlonamjerni softver za krađu informacija baziran na Pythonu.
Ovaj zlonamjerni softver nakratko radi na prikupljanju podataka, a zatim briše sve datoteke, uključujući i sebe, kako bi izbjegao otkrivanje.
Mogućnosti zlonamjernog softvera i eksfiltracija podataka
Infostealer je dizajniran za prikupljanje sveobuhvatnih informacija i datoteka pretraživača.
Izvlači MasterKeys iz pretraživača kao što su Chrome, Edge, Yandex i Brave i snima kolačiće sesije, sačuvane lozinke, informacije o kreditnim karticama i istoriju pretraživača. Uz to, zlonamjerni softver kopira podatke iz ekstenzija pretraživača povezanih s Bitcoinom, uključujući MetaMask i Coinbase Wallet.
Zlonamjerni softver cilja PDF datoteke i zipuje cijele direktorije, uključujući one u radnoj površini, preuzimanjima, dokumentima i određenim %AppData% folderima. Ukradeni podaci se zatim šalju e-poštom na različite adrese na domeni maternamedical.top, a svaka je određena za određene vrste informacija kao što su kolačići, PDF datoteke i ekstenzije pretraživača.
Implikacije za cyber sigurnost
Prema Barracudi, ovaj napad predstavlja novu granicu u prijetnjama eksfiltracije podataka, sa širokim spektrom mogućnosti prikupljanja podataka zlonamjernog softvera koji predstavlja ozbiljne rizike.
“Većina phishing napada povezana je s krađom podataka, ali ovdje gledamo na napad dizajniran za opsežnu eksfiltraciju podataka koju izvodi sofisticirani kradljivac informacija”, rekao je Saravanan Mohan, menadžer analitičara prijetnji u Barracudi.
“Količina i raspon osjetljivih informacija koje se mogu uzeti su opsežne. Neke se potencijalno mogu iskoristiti u daljnjim zlonamjernim aktivnostima, kao što su bočno kretanje ili finansijska prijevara. Kako cyber-kriminalci nastavljaju razvijati sofisticirane metode za krađu kritičnih informacija, važno je za kompanije da ostanu budne i proaktivne u svojim naporima za sajber sigurnost.”
Ključne strategije koje preporučuje firma uključuju implementaciju robusnih sigurnosnih protokola, kontinuirano praćenje sumnjivih aktivnosti i edukaciju zaposlenih o potencijalnim prijetnjama.
Višeslojna rješenja za zaštitu e-pošte koja koriste umjetnu inteligenciju i strojno učenje također su od pomoći u otkrivanju i blokiranju takvih pokušaja krađe identiteta prije nego što stignu do korisničkih sandučića.
Izvor:Cyware Labs
