Pojavila se sofisticirana kampanja zlonamjernog softvera koja iskorištava legitimni softver za daljinski pristup ConnectWise kako bi kreirala valjano potpisane zlonamjerne aplikacije, što predstavlja značajan evolucijski korak u taktikama cyberkriminalaca.
Od marta 2025. godine, sigurnosni istraživači primijetili su drastično povećanje napada koji koriste ono što nazivaju “EvilConwi” – tehniku koja omogućava akterima prijetnje da grade prilagođeni zlonamjerni softver za daljinski pristup, zadržavajući pritom legitimne digitalne potpise ConnectWise aplikacija.
Kampanja se primarno širi putem phishing e-poruka koje sadrže veze na OneDrive, preusmjeravajući žrtve na obmanjujuće Canva stranice sa dugmadima “View PDF”, što na kraju dovodi do preuzimanja zlonamjernih instalatera ConnectWise-a.
Ovi napadi su se pokazali izuzetno efikasnim jer većina antivirusnih programa nije uspjela detektirati zlonamjerno konfigurirane ConnectWise uzorke kao zlonamjerni softver, čak ni u maju 2025. godine.
Žrtve prijavljuju lažne ekrane za ažuriranje Windowsa i neovlaštene pokrete mišem, što ukazuje na aktivne daljinske veze uspostavljene od strane napadača.
Analitičari G Data identifikovali su prijetnju nakon istrage višestrukih prijava korisnika na forumima o kibernetičkoj sigurnosti, gdje su žrtve tražile pomoć u uklanjanju neželjenih ConnectWise infekcija.
Istraživači su otkrili da akteri prijetnje koriste tehniku poznatu kao “Authenticode stuffing” za ugrađivanje zlonamjernih konfiguracija unutar strukture certifikata legitimnih ConnectWise instalatera, čime im omogućavaju modifikaciju ponašanja aplikacije bez poništavanja digitalnog potpisa.
Zlonamjerni softver se prikriva kao razne legitimne aplikacije, uključujući pretvarače slika bazirane na AI, instalere za Zoom, datoteke za postavljanje Microsoft Excela i ažuriranja za Adobe.
Nakon instalacije, zlonamjerni ConnectWise klijenti uspostavljaju trajne daljinske veze, prikrivajući svoje prisustvo putem onemogućenih ikona u sistemskoj traci, potisnutih obavijesti o povezivanju i lažnih ekrana za ažuriranje Windowsa koji odvraćaju korisnike od isključivanja svojih sistema.
**Authenticode Stuffing: Tehnička osnova napada**
Srž ovog napada leži u sofisticiranom zloupotrebi procesa Authenticode potpisivanja putem tehnike poznate kao “Authenticode stuffing”.
Ova metoda iskorištava način na koji Windows provjerava digitalne potpise postavljanjem zlonamjernih podataka konfiguracije u neautorizirane atribute unutar tablice certifikata, koji se isključuju iz procesa provjere potpisa.
Kada Windows izračunava authentihash radi provjere certifikata datoteke Portable Executable, on namjerno izostavlja određena područja, uključujući samu tablicu certifikata i sve neautorizirane atribute sadržane u njoj.
Akteri prijetnje iskorištavaju ovaj dizajn ugrađujući sveobuhvatne podatke konfiguracije u ova isključena područja, efektivno stvarajući legitimni mehanizam potpisivanja za distribuciju zlonamjernog softvera.
Istraživači G Data razvili su alate za analizu kako bi izdvojili ove skrivene konfiguracije, otkrivajući opsežne mogućnosti prilagođavanja dostupne napadačima.
Njihov skript za izdvajanje certifikata zasnovan na Pythonu demonstrira kako akteri prijetnje ugrađuju kritične modifikacije ponašanja direktno unutar strukture certifikata.
Ugrađene konfiguracije uključuju zastavice za tiho instaliranje, URL-ove i portove za povezivanje, prilagođene ikone aplikacija, obmanjujuće naslove prozora i postavke koje onemogućuju sigurnosne indikatore.
Analiza zlonamjernih uzoraka otkriva konfiguracije koje zamjenjuju legitimno ConnectWise brendiranje ikonama Google Chromea i lažnim porukama o ažuriranju Windowsa, istovremeno sistematski onemogućavajući funkcije poput obavijesti u sistemskoj traci i pozadina ekrana prilikom povezivanja, koje bi korisnike upozorile na aktivne daljinske sesije.
Ova tehnika predstavlja posebno zabrinjavajući razvoj u distribuciji zlonamjernog softvera, jer omogućava cyberkriminalcima da kreiraju potpuno funkcionalne alate za daljinski pristup koristeći povjerljive digitalne potpise legitimnih dobavljača softvera, efikasno zaobilazeći tradicionalne sigurnosne kontrole, a istovremeno održavajući trajni pristup kompromitovanim sistemima.
Ovo upozorenje, koje je objavljeno putem bloga kompanije G Data, detaljno objašnjava tehniku “EvilConwi” koja omogućava akterima prijetnje da iskoriste legitimne ConnectWise instalere. Upozorenje je odjeknulo na platformama poput mreže X, gdje su stručnjaci za sigurnost i zajednica kibernetičke sigurnosti dijelili informacije i raspravljali o implikacijama ove napredne metode. Jedan od nedavnih incidenata koji ilustruje ovaj napad uključuje korisnike koji su primili phishing e-poruke sa vezama ka OneDriveu, što ih je potom vodilo ka lažnim stranicama za preuzimanje softvera. Na tim stranicama su se nalazila dugmad poput “View PDF”, a prevaranti su mamili žrtve nudeći softverske alate koji su im navodno potrebni. Po preuzimanju, umjesto očekivanog softvera, instalirao bi se zlonamjerni ConnectWise klijent. Napad je postao uvjerljiv jer je zlonamjerni softver koristio validne digitalne potpise ConnectWise-a, što ga je činilo teško detektabilnim za mnoge sigurnosne programe. Žrtve bi nakon infekcije primijetile neželjene promjene na svojim računalima, poput lažnih obavijesti o ažuriranju sustava i daljinskog upravljanja, što ukazuje na uspostavljanje skrivenih veza. Način na koji su prevaranti mamili korisnike je kroz kreiranje lažnih instalera koji su se predstavljali kao popularni ili nužni programi, čime su iskorištavali povjerenje u poznate brendove i potrebu za redovnim ažuriranjima.
