Istraživači cyber sigurnosti detaljno su opisali široko rasprostranjene phishing kampanje usmjerene na mala i srednja preduzeća (SMB) u Poljskoj tokom maja 2024. godine, a koje su dovele do implementacije nekoliko porodica zlonamjernog softvera poput Agenta Tesla, Formbooka i Remcos RAT-a.
Neki od drugih regiona koji su na meti kampanja uključuju Italiju i Rumuniju, navodi firma za cyber sigurnost ESET.
„Napadači su koristili prethodno kompromitovane naloge e-pošte i servere kompanije, ne samo za širenje zlonamjernih e-poruka, već i za hostovanje zlonamernog softvera i prikupljanje ukradenih podataka“, rekao je istraživač ESET-a Jakub Kaloč.
Ove kampanje, raspoređene u devet talasa, značajne su po korištenju učitavača zlonamjernog softvera zvanog DBatLoader (aka ModiLoader i NatsoLoader) za isporuku konačnog korisnog opterećenja.
Ovo, saopštila je slovačka kompanija za cyber sigurnost, označava odmak od prethodnih napada uočenih u drugoj polovini 2023. koji su koristili kriptori kao uslugu (CaaS) nazvanu AceCryptor za propagiranje Remcos RAT (aka Rescoms).
„Tokom druge polovine [2023.], Rescoms je postao najrasprostranjenija porodica zlonamernog softvera koju je spakovao AceCryptor,“ primetio je ESET u martu 2024. „Više od polovine ovih pokušaja dogodilo se u Poljskoj, a zatim u Srbiji, Španiji, Bugarskoj i Slovačkoj“.
Polazna tačka napada bili su phishing e-poruke koje su uključivale RAR ili ISO priloge sa zlonamjernim softverom koji su nakon otvaranja aktivirali proces u više koraka za preuzimanje i pokretanje trojanca.
U slučajevima kada je priložen ISO fajl, to bi direktno dovelo do izvršavanja DBatLoader-a. RAR arhiva je, s druge strane, sadržavala zamagljenu Windows skupnu skriptu koja je obuhvatila izvršnu datoteku ModiLoader kodirane Base64 koja je prikrivena kao PEM-kodirana lista opoziva certifikata.
Program za preuzimanje baziran na Delphiju, DBatLoader je prvenstveno dizajniran za preuzimanje i pokretanje zlonamjernog softvera sljedeće faze ili sa Microsoft OneDrive-a ili s kompromitovanih servera koji pripadaju legitimnim kompanijama.
Bez obzira na to koji je zlonamjerni softver raspoređen, Agent Tesla, Formbook i Remcos RAT imaju mogućnosti da sifoniraju osjetljive informacije, omogućavajući hakerima da „pripreme teren za svoje naredne kampanje“.
Razvoj dolazi kada je Kaspersky otkrio da su mala i srednja preduzeća sve više na meti cyber kriminalaca zbog njihovog nedostatka robusnih mera cyber sigurnosti, kao i zbog ograničenih resursa i stručnosti.
“Trojanski napadi ostaju najčešća cyber prijetnja, što ukazuje na to da napadači nastavljaju da ciljaju mala i srednja preduzeća i daju prednost zlonamjernom softveru u odnosu na neželjeni softver”, rekao je prošlog mjeseca ruski dobavljač sigurnosti.
“Trojanci su posebno opasni jer oponašaju legitiman softver, zbog čega ih je teže otkriti i spriječiti. Njihova svestranost i sposobnost da zaobiđu tradicionalne sigurnosne mjere čine ih preovlađujućim i efikasnim alatom za cyber napadače.”
Izvor:The Hacker News