Hakeri mame nesuđene korisnike besplatnim ili piratskim verzijama komercijalnog softvera da isporuče program za učitavanje zlonamjernog softvera koji se zove Hijack Loader, koji zatim koristi alat za krađu informacija poznat kao Vidar Stealer.
“Hakeri su uspjeli navesti korisnike da preuzmu arhivske datoteke zaštićene lozinkom koje sadrže trojanizirane kopije Cisco Webex Meetings aplikacije (ptService.exe)”, rekao je istraživač sigurnosti Trellixa Ale Houspanossian.
„Kada su nesuđene žrtve izvukle i izvršile binarnu datoteku ‘Setup.exe’, aplikacija Cisco Webex Meetings je tajno učitala prikriveni učitavač zlonamjernog softvera, što je dovelo do izvršenja modula za krađu informacija.”
Polazna tačka je RAR arhivska datoteka koja sadrži izvršno ime „Setup.exe“, ali je u stvarnosti kopija ptService modula Cisco Webex Meetings.
Ono što kampanju čini vrijednom pažnje je upotreba tehnika bočnog učitavanja DLL-a za prikriveno pokretanje Hijack Loader-a (aka DOILoader ili IDAT Loader), koji zatim djeluje kao kanal za ispuštanje Vidar Stealer-a pomoću AutoIt skripte.
“Zlonamjerni softver koristi poznatu tehniku za zaobilaženje kontrole korisničkog računa (UAC) i iskorištavanje CMSTPLUA COM interfejsa za eskalaciju privilegija”, rekao je Houspanossian. “Kada je eskalacija privilegija uspjela, zlonamjerni softver se dodao na listu isključenja Windows Defendera za izbjegavanje odbrane.”
Lanac napada, osim što koristi Vidar Stealer za sifoniranje osjetljivih krendencijala iz web pretraživača, koristi dodatni teret za implementaciju rudara kriptovaluta na kompromitovanom hostu.
Ovo otkrivanje prati nagli porast ClearFake kampanja koje podstiču posetioce sajta da ručno izvrše PowerShell skriptu kako bi rešili navodni problem sa pregledanjem web stranica, tehniku koju je ReliaQuest prethodno otkrio krajem prošlog meseca.
PowerShell skripta tada služi kao lansirna platforma za Hijack Loader, koji na kraju isporučuje zlonamjerni softver Lumma Stealer. Haker je takođe opremljen za preuzimanje još tri korisnog opterećenja, uključujući Amadey Loader, program za preuzimanje koji pokreće XMRig rudar, i kliper malver za preusmjeravanje kripto transakcija na novčanike koje kontrolira napadač.
“Amadey je primijećeno kako preuzima druge korisne sadržaje, na primjer zlonamjerni softver baziran na Go-u za koji se vjeruje da je JaskaGO”, rekli su istraživači Proofpointa Tommy Madjar, Dusty Miller i Selena Larson.
Firma za sigurnost preduzeća rekla je da je sredinom aprila 2024. godine otkrila još jedan klaster aktivnosti nazvan ClickFix koji je koristio neispravne nadogradnje pretraživača koji mami posjetitelje ugroženih web-mjesta kako bi propagirali Vidar Stealer koristeći sličan mehanizam koji uključuje kopiranje i pokretanje PowerShell koda.
Još jedan haker koji je prihvatio istu taktiku društvenog inženjeringa u svojim kampanjama protiv malspam-a je TA571, koji je primijećen kako šalje e-poštu s HTML privitcima koji, kada se otvore, prikazuju poruku o grešci: “Ekstenzija ‘Word Online’ nije instalirana u vašem pregledniku .”
Poruka također sadrži dvije opcije, “Kako popraviti” i “Automatsko popravljanje”. Ako žrtva odabere prvu opciju, Base64 kodirana PowerShell komanda se kopira u međuspremnik računara praćena uputstvima za pokretanje PowerShell terminala i desnim klikom na prozor konzole da zalijepi sadržaj međuspremnika i izvrši kod odgovoran za pokretanje bilo kojeg MSI instalatera. ili Visual Basic Script (VBS).
Slično tome, korisnicima koji izaberu “Auto-fix” prikazuju se datoteke hostovane na WebDAV-u pod nazivom “fix.msi” ili “fix.vbs” u Windows Exploreru tako što će iskoristiti prednost “search-ms:” rukovatelja protokola.
Bez obzira na izabranu opciju, izvršavanje MSI fajla kulminira instalacijom Matanbuchusa, dok izvršavanje VBS datoteke dovodi do postavljanja DarkGate-a.
Druge varijante kampanje su takođe rezultirale distribucijom NetSupport RAT-a, naglašavajući pokušaje modifikacije i ažuriranja mamaca i napadačkih lanaca uprkos činjenici da zahtevaju značajnu interakciju od strane korisnika kako bi bili uspešni.
„Legitimna upotreba i brojni načini za pohranjivanje zlonamjernog koda, kao i činjenica da žrtva ručno pokreće zlonamjerni kod bez ikakve direktne povezanosti s datotekom, otežava otkrivanje ovih vrsta prijetnji,“ rekao je Proofpoint.
“Pošto će antivirusni softver i EDR-ovi imati problema s provjeravanjem sadržaja međuspremnika, otkrivanje i blokiranje moraju biti na mjestu prije nego što se zlonamjerni HTML/lokacija prikaže žrtvi.”
Razvoj takođe dolazi kada je eSentire otkrio kampanju zlonamjernog softvera koja koristi slične web-stranice koje se imitiraju kao Indeed[.]com kako bi izbacili SolarMarker zlonamjerni softver za krađu informacija putem dokumenta za privlačenje koji bi trebao ponuditi ideje za izgradnju tima.
“SolarMarker koristi tehnike trovanja optimizacije za pretraživače (SEO) da manipuliše rezultatima pretraživača i poveća vidljivost obmanjujućih linkova”, rekla je kanadska kompanija za cyber sigunost.
“Korišćenje SEO taktike od strane napadača za usmjeravanje korisnika na zlonamjerne web stranice naglašava važnost opreza u pogledu klikanja na rezultate pretraživača, čak i ako izgledaju legitimno.”
Izvor:The Hacker News