Nedavna kampanja krađe identiteta koja je ciljala industrijske i inženjerske kompanije u Evropi imala je za cilj da žrtve opskrbi popularnim programom za preuzimanje GuLoader i, na kraju, trojancem za daljinski pristup koji bi omogućio napadačima da ukradu informacije i pristupe kompromitovanim računarima kad god požele.
“E-mailovi se šalju s različitih adresa e-pošte, uključujući lažne kompanije i kompromitovane račune. E-poruke obično otimaju postojeću nit e-pošte ili traže informacije o narudžbi,” upozorila je Tara Gould, voditeljica istraživanja prijetnji u Cado Security.
Malware
Cilj e-pošte je natjerati primatelja da preuzme prilog – .iso , .7z , .gzip ili .rar arhivsku datoteku – i raspakuje ga. U njemu je batch fajl koji sadrži zamagljenu PowerShell skriptu.
Pokretanje datoteke pokreće proces preuzimanja druge datoteke koja sadrži drugu PowerShell skriptu koja uključuje funkcionalnost za dodjelu memorije putem VirtualAlloc-a (prirodna Windows API funkcija) i za izvršavanje shellcode-a.
“Drugi shellcode je ubačen u legitimni proces ‘msiexec.exe’ i čini se da poseže do domene kako bi dohvatio dodatni korisni teret, međutim u vrijeme analize ovaj zahtjev vraća 404. Na osnovu prethodnog istraživanja GuLoader-a, konačni nosivost je obično RAT uključujući Remcos, NetWire i AgentTesla,” podijelio je Gould.
Druga skripta takođe kreira ključ registra za postojanost.
Izbjegavanje i prikrivanje je kritično za GuLoader
“Guloader koristi proces ubrizgavanja kako bi izbjegao otkrivanje. Ovo omogućava da se maliciozni kod pokrene kroz legitiman proces, što znači da sigurnosni proizvodi možda neće otkriti maliciozni softver ili žrtve možda neće biti upozorene jer će proces izgledati kao normalan Windows proces”, rekao je Gould za Help Net Security.
“Metode zamagljivanja su prilagođene i raspoređene da zaobiđu sigurnosne proizvode koji mogu otkriti datoteke ako nisu bili zamagljeni i otežati analizu datoteka.”
Izbjegavanje učitavača znači da hakeri koji ga postavljaju mogu koristiti razne konačne korisne terete bez potrebe da svaki od njih prilagođavaju za izbjegavanje otkrivanja.
„Koristljene tehnike antianalize, uključujući upotrebu neželjenog koda i šifrovanog shell koda, otežavaju analizu, što zauzvrat čini stvaranje detekcija izazovnijim. Osim toga, kako je dizajniran da poremeti analizu, više vremena se troši na obezbjeđenje da utvrdi šta se dešava”, zaključio je Gould.
Mete
Cado Security je pružio indikatore kompromisa i Yara pravila kako bi pomogao organizacijama da traže dokaze o kompromisu.
Kompanija kaže da je kampanja spear-phishinga bila usmerena na zaposlene u elektronskim proizvodnim, inženjerskim i industrijskim kompanijama u evropskim zemljama: Rumuniji, Poljskoj, Nemačkoj i Kazahstanu.
Izvor:Help Net Security
