Istraživači bezbjednosti otkrili su novu kampanju visokog rizika koja cilja korisnike Microsoft Windows operativnog sistema putem sofisticiranog malvera za krađu informacija pod nazivom “NordDragonScan”. Ovaj malver koristi napredne tehnike za prikupljanje prijavnih podataka, podataka iz pregledača i osjetljivih dokumenata sa kompromitovanih sistema.
FortiGuard Labs je nedavno otkrio infrastrukturu za distribuciju koja je aktivno ugrožavala korisnike putem HTA skripti, koje su precizno osmišljene da tiho ubace NordDragonScan malver u okruženje žrtava. Čitav napad započinje korišćenjem skraćenih URL usluga koje korisnike preusmjeravaju na platforme za dijeljenje sadržaja koje naizgled djeluju legitimno. Ovo navodi korisnike na preuzimanje RAR arhiva sa ukrajinskim nazivima fajlova, čiji je cilj da ih ubijede da se radi o službenim dokumentima.
Unutar malicioznog paketa nalazi se pažljivo izrađena LNK prečica koja automatski pokreće ugrađeni HTA sadržaj koristeći Microsoftov uslužni program mshta.exe. Takav pristup omogućava napadačima da efikasno zaobiđu brojne bezbjednosne mehanizme, s obzirom da iskorišćavaju legitimne alate operativnog sistema Windows u maliciozne svrhe. Nakon toga, HTA skripta kopira PowerShell.exe u javni direktorijum i mijenja mu naziv u “install.exe” kako bi prikrila svoje prisustvo od softvera za bezbjednosni nadzor.
Nakon uspješne instalacije, NordDragonScan pokazuje značajne mogućnosti prikupljanja podataka, predstavljajući ozbiljan rizik za privatnost i bezbjednost žrtava. Malver sistematski analizira host sistem, snima ekran i prikuplja kompletne profile pregledača Chrome i Firefox, uključujući sačuvane lozinke, istoriju pregledanja i druge osjetljive informacije.
Ovaj malver cilja specifične vrste sadržaja unutar ključnih direktorijuma kao što su radna površina, dokumenti i preuzimanja. Konkretno, pretražuje dokumente sa ekstenzijama .docx, .doc, .xls, .ovpn, .rdp, .txt i .pdf. Uz to, NordDragonScan obavlja mrežnu izviđačku aktivnost, skenirajući lokalnu mrežu žrtve kako bi identifikovao druge potencijalno ranjive sisteme.
NordDragonScan uspostavlja trajnost na zaraženim sistemima tako što kreira zapise u registru, osiguravajući da malver nastavi sa radom i nakon ponovnog pokretanja sistema. Komunikacija sa komandno-kontrolnim serverom “kpuszkiev.com” odvija se putem prilagođenih HTTP zaglavlja i šifrovanih TLS veza radi eksfiltracije prikupljenih podataka. Infrastruktura komandno-kontrolnog servera služi dvostrukoj svrsi: kao mjesto za prikupljanje podataka i kao server za praćenje aktivnosti žrtava, omogućavajući hakerima da potvrde da su žrtve online i da po potrebi zatraže dodatne podatke. Ovaj sofisticirani pristup omogućava dugoročno praćenje i izdvajanje podataka sa kompromitovanih sistema.
Osim ugrožavanja pojedinačnih sistema, NordDragonScan predstavlja šire rizike za mrežnu bezbjednost zbog svojih mogućnosti skeniranja mreže. Malver analizira mrežne adaptere, izračunava CIDR opsege i provodi lagane probe kroz lokalnu mrežnu infrastrukturu. Ova funkcionalnost omogućava hakerima da identifikuju i potencijalno ugroze dodatne sisteme unutar istog mrežnog okruženja.
Stručnjaci za bezbjednost preporučuju izuzetnu opreznost prilikom rukovanja LNK prečicama i komprimovanim arhivama iz nepouzdanih izvora. Organizacije bi trebalo da implementiraju sveobuhvatne mjere bezbjednosti elektronske pošte, održavaju ažuriran antivirusni softver i edukuju korisnike o tehnikama socijalnog inženjeringa koje se koriste u ovim kampanjama. Sofisticirana priroda NordDragonScana ukazuje na evoluirajući opseg prijetnji s kojima se suočavaju korisnici Windowsa. Njegova sposobnost da djeluje prikriveno, istovremeno sistematski prikupljajući osjetljive podatke, čini ga posebno opasnim kako za individualne korisnike, tako i za mrežne organizacije. Redovna obuka o bezbjednosnoj svijesti i robusna zaštita krajnjih tačaka ostaju ključne odbrane od ovakvih naprednih i upornih prijetnji.
