Hakeri zloupotrebljavaju CHM fajlove jer mogu da ugrade zlonamjerne skripte ili kod u njih. Windows sistemi često vjeruju i izvršavaju ove datoteke bez mnogo sigurnosnih provjera.
Kada se CHM datoteka otvori, ona omogućava akterima prijetnje da isporuče zlonamjerni softver, izvrše proizvoljne komande i dobiju neovlašteni pristup računaru žrtve.
Istraživači sajber sigurnosti u Securonixu su nedavno otkrili da hakeri aktivno iskorištavaju CHM datoteke za napad na korisnike pomoću Zip datoteka zaštićenih lozinkom.
Hakeri koriste CHM datoteke
U kampanji PHANTOM#SPIKE koju je pratio Securonix otkriveno je da koristi dokumente za phishing sa vojnom tematikom za implementaciju jednostavnog RAT-a.
Za isporuku korisnog opterećenja, hakeri koriste ZIP arhive i CHM datoteke zaštićene lozinkom.
Kampanja je vjerovatno politički motivisana, a ova kampanja prvenstveno cilja na žrtve povezane s Pakistanom, s nekim sadržajem koji uključuje zapadne zemlje.
Ovaj pristup iskorištava pouzdane formate datoteka da zaobiđe odbranu, naglašavajući zabrinjavajući trend u sajber napadima.
Kampanja za krađu identiteta koristi strukturu arhivske datoteke sa varljivim izgledom kako bi isporučila štetnu CHM datoteku i skriveni EXE.
Ova konkretna CHM datoteka koja se maskira kao zapisnik sa sastanka vojnog foruma sadrži ugrađene slike uz javascript, što će, nakon interakcije korisnika, uzrokovati da se skriveni EXE izvrši.
.webp)
Ovaj pristup je ranije viđen u kampanjama ciljanim na Ukrajinu u kojima je CHM format korišten za tajno izvršavanje skripte unutar svojih HTML stranica.
Zlonamjerna CHM datoteka koristi varljivu HTML strukturu i ugrađene slike kako bi izgledala legitimno.
Sadrži oznaku OBJECT sa određenim classid i PARAM oznakama koje kreiraju prečicu za izvršavanje skrivene izvršne datoteke, “RuntimeIndexer.exe”, kada korisnik klikne bilo gdje na dokumentu.
Ovaj mali, CSharp napisan korisni teret funkcioniše kao backdoor, povezujući se sa C2 serverom za daljinsko izvršavanje komandi na zaraženom sistemu.
Ovdje ispod smo spomenuli sve ključne komponente i funkcionalnosti koda:-
- Mrežna komunikacija i prijenos podataka
- Izvršenje naredbe
- Asinkrono i skriveno izvršavanje
- Post eksploatacija
Ovaj napad se ističe po svojoj jednostavnosti i modularnosti, jer je otkriveno da umjesto složenih višestepenih sekvenci koristi jednostavne korisne terete.
Ovaj pristup minimizira površinu napada, za razliku od komplikovanijih kampanja kao što su STEEP#MAVERICK ili STARK#VORTEX.
Preporuke
U nastavku smo naveli sve preporuke:-
- Izbjegavajte preuzimanje neželjenih datoteka iz vanjskih izvora.
- Provjerite ekstenzije datoteka prije izvršavanja.
- Nadgledajte uobičajene direktorije za postavljanje zlonamjernog softvera, posebno za aktivnost skripte.
- Primenite teške mogućnosti evidentiranja krajnjih tačaka, uključujući Sysmon i PowerShell evidenciju.
- Budite oprezni sa šifrovanim prometom preko porta 443, koji može sakriti zlonamjernu aktivnost.
Izvor: CyberSecurityNews