Pojavila se sofisticirana kampanja malicioznog softvera koja iskorištava legitimni softver za daljinski pristup ConnectWise kako bi kreirala valjano potpisane maliciozne aplikacije, što predstavlja značajan evolucijski korak u taktikama sajber kriminalaca.
Od marta 2025. godine, sigurnosni istraživači primijetili su drastično povećanje napada koji koriste ono što nazivaju “EvilConwi” – tehniku koja omogućava hakerima da grade prilagođeni maliciozni softver za daljinski pristup, zadržavajući pritom legitimne digitalne potpise ConnectWise aplikacija.
Kampanja se primarno širi putem phishing e-poruka koje sadrže veze na OneDrive, preusmjeravajući žrtve na obmanjujuće Canva stranice sa dugmadima “View PDF”, što na kraju dovodi do preuzimanja malicioznih instalatera ConnectWise-a.
Ovi napadi su se pokazali izuzetno efikasnim jer većina antivirusnih programa nije uspjela detektovati maliciozno konfigurisane ConnectWise uzorke kao maliciozni softver, čak ni u maju 2025. godine.
Žrtve prijavljuju lažne ekrane za ažuriranje Windowsa i neovlaštene pokrete mišem, što ukazuje na aktivne daljinske veze uspostavljene od strane napadača.
Analitičari G Data identifikovali su prijetnju nakon istrage višestrukih prijava korisnika na forumima o sajber sigurnosti, gdje su žrtve tražile pomoć u uklanjanju neželjenih ConnectWise infekcija.
Istraživači su otkrili da hakeri koriste tehniku poznatu kao “Authenticode stuffing” za ugrađivanje malicioznih konfiguracija unutar strukture certifikata legitimnih ConnectWise instalatera, čime im omogućavaju modifikaciju ponašanja aplikacije bez poništavanja digitalnog potpisa.
Maliciozni softver se prikriva kao razne legitimne aplikacije, uključujući pretvarače slika bazirane na AI, instalere za Zoom, datoteke za postavljanje Microsoft Excela i ažuriranja za Adobe.
Nakon instalacije, maliciozni ConnectWise klijenti uspostavljaju trajne daljinske veze, prikrivajući svoje prisustvo putem onemogućenih ikona u sistemskoj traci, potisnutih obavijesti o povezivanju i lažnih ekrana za ažuriranje Windowsa koji odvraćaju korisnike od isključivanja svojih sistema.
Authenticode Stuffing: Tehnička osnova napada
Srž ovog napada leži u sofisticiranom zloupotrebi procesa Authenticode potpisivanja putem tehnike poznate kao “Authenticode stuffing”.
Ova metoda iskorištava način na koji Windows provjerava digitalne potpise postavljanjem malicioznih podataka konfiguracije u neautorizirane atribute unutar tablice certifikata, koji se isključuju iz procesa provjere potpisa.
Kada Windows izračunava authentihash radi provjere certifikata datoteke Portable Executable, on namjerno izostavlja određena područja, uključujući samu tablicu certifikata i sve neautorizovane atribute sadržane u njoj.
Hakeri iskorištavaju ovaj dizajn ugrađujući sveobuhvatne podatke konfiguracije u ova isključena područja, efektivno stvarajući legitimni mehanizam potpisivanja za distribuciju malicioznog softvera.
Istraživači G Data razvili su alate za analizu kako bi izdvojili ove skrivene konfiguracije, otkrivajući opsežne mogućnosti prilagođavanja dostupne napadačima.
Njihov skript za izdvajanje certifikata zasnovan na Pythonu demonstrira kako hakeri ugrađuju kritične modifikacije ponašanja direktno unutar strukture certifikata.
Ugrađene konfiguracije uključuju zastavice za tiho instaliranje, URL-ove i portove za povezivanje, prilagođene ikone aplikacija, obmanjujuće naslove prozora i postavke koje onemogućuju sigurnosne indikatore.
Analiza malicioznih uzoraka otkriva konfiguracije koje zamjenjuju legitimno ConnectWise brendiranje ikonama Google Chromea i lažnim porukama o ažuriranju Windowsa, istovremeno sistematski onemogućavajući funkcije poput obavijesti u sistemskoj traci i pozadina ekrana prilikom povezivanja, koje bi korisnike upozorile na aktivne daljinske sesije.
Ova tehnika predstavlja posebno zabrinjavajući razvoj u distribuciji malicioznog softvera, jer omogućava sajber kriminalcima da kreiraju potpuno funkcionalne alate za daljinski pristup koristeći povjerljive digitalne potpise legitimnih dobavljača softvera, efikasno zaobilazeći tradicionalne sigurnosne kontrole, a istovremeno održavajući trajni pristup kompromitovanim sistemima.
Ovo upozorenje, koje je objavljeno putem bloga kompanije G Data, detaljno objašnjava tehniku “EvilConwi” koja omogućava hakerima da iskoriste legitimne ConnectWise instalere. Upozorenje je odjeknulo na platformama poput mreže X, gdje su stručnjaci za sigurnost i zajednica sajber sigurnosti dijelili informacije i raspravljali o implikacijama ove napredne metode. Jedan od nedavnih incidenata koji ilustruje ovaj napad uključuje korisnike koji su primili phishing e-poruke sa vezama ka OneDriveu, što ih je potom vodilo ka lažnim stranicama za preuzimanje softvera. Na tim stranicama su se nalazila dugmad poput “View PDF”, a prevaranti su mamili žrtve nudeći softverske alate koji su im navodno potrebni. Po preuzimanju, umjesto očekivanog softvera, instalirao bi se maliciozni ConnectWise klijent. Napad je postao uvjerljiv jer je maliciozni softver koristio validne digitalne potpise ConnectWise-a, što ga je činilo teško detektabilnim za mnoge sigurnosne programe. Žrtve bi nakon infekcije primijetile neželjene promjene na svojim računarima, poput lažnih obavijesti o ažuriranju sustava i daljinskog upravljanja, što ukazuje na uspostavljanje skrivenih veza. Način na koji su prevaranti mamili korisnike je kroz kreiranje lažnih instalera koji su se predstavljali kao popularni ili nužni programi, čime su iskorištavali povjerenje u poznate brendove i potrebu za redovnim ažuriranjima.
