Kampanje phishing-a su se intenzivirale u maju 2024., pri čemu je Poljska snosila najveći teret napada, čineći 80% od preko 26.000 zaštićenih korisnika, dok su Italija i Rumunija također iskusile značajno ciljanje.
Hakeri pokrenuli su devet različitih phishing kampanja tokom mjeseca, prvenstveno fokusirajući se na Poljsku sa sedam namjenskih napada.
Nedavni cyber napadi prešli su s korištenja AceCryptora na ModiLoader kao primarni mehanizam isporuke zlonamjernog softvera.
Devet analiziranih kampanja je isključivo koristilo ModiLoader za infiltriranje u sisteme i implementaciju različitih korisnih podataka, uključujući Formbook, Agent Tesla i Rescoms RAT.
Hitovi ModiLoader phishing kampanja u Poljskoj tokom maja 2024
Ovi zlonamjerni alati dizajnirani su za krađu osjetljivih informacija i uspostavljanje daljinske kontrole nad kompromitovanim mašinama, što predstavlja značajan rizik za pogođene organizacije.
Napadači su pokrenuli phishing kampanje koje su ciljale kompanije s e-porukama koje sadrže zlonamjerne priloge.
E-mailovi su koristili dosljednu taktiku društvenog inženjeringa , predstavljajući se kao legitimni poslovni upiti i tražeći ponude cijena.
Poruke su se kretale od sažetih zahtjeva s brojevima narudžbi do detaljnijih prijedloga sa detaljnim specifikacijama proizvoda.
Bez obzira na format, sve poruke e-pošte imale su za cilj da navedu primaoce da otvore priložene datoteke, za koje se kasnije pokazalo da sadrže zlonamjerni softver ModiLoader.
Primjer phishing e-pošte koja sadrži ModiLoader u prilogu
Napadači u kampanjama za krađu identiteta u drugoj polovini 2023. koristili su društveni inženjering lažno predstavljajući legitimne kompanije i njihovo osoblje kako bi poboljšali uspjeh kampanje.
Zlonamjerni prilozi, prerušeni u poslovne dokumente kao što su RFQ ili narudžbe, uključeni su u ove e-poruke.
Prilozi, formatirani kao ISO ili arhivske datoteke, podsticali su žrtve da ih otvore putem sadržaja e-pošte, zaobilazeći tipične crvene zastavice zbog uvjerljivog lažnog predstavljanja.
Kampanje su koristile dvije primarne metode za isporuku izvršne datoteke ModiLoader.
U jednom, ISO fajlovi koji sadrže identično imenovane izvršne datoteke su poslani kao prilozi, direktno pokretajući ModiLoader nakon izvršenja.
Alternativno, distribuirane su RAR arhive prerušene u batch skripte, sa ovim skriptama zamaskivanim i sadržavajući ModiLoader kodiran base64 maskiranim kao listu opoziva certifikata.
Nakon izvršenja, skripta je dekodirala i pokrenula ugrađeni zlonamjerni korisni teret.
datoteka s ekstenzijom .cmd koja sadrži jako zamućenu skupnu skriptu koja dekodira binarno ModiLoader kodiranu base64
ModiLoader, program za preuzimanje baziran na Delphiju, funkcionira kao zlonamjerni softver u prvoj fazi, dohvaćajući naknadne korisne podatke sa kompromitovanih servera ili servisa za pohranu u oblaku kao što je OneDrive.
Ovi sadržaji, uključujući Agent Tesla, Rescoms i Formbook, su zlonamjerni softver koji krade informacije i može eksfiltrirati osjetljive podatke.
Napadači koriste ove ukradene vjerodajnice kako bi proširili svoju površinu napada i potencijalno pokrenuli dalje zlonamjerne kampanje.
Lanac kompromisa ModiLoader phishing kampanja u Poljskoj tokom maja 2024
Uočena su dva različita primjera metoda.
Prvi typosquatting, koji odražava domen njemačke kompanije za eksfiltraciju podataka baziranu na SMTP-u, što je u skladu s prethodnim Rescoms kampanjama koje su koristile typosquatted domene za phishing .
U poređenju sa prvom kampanjom, druga je koristila web server rumunske kuće za goste koji je izgledao legitimno za krađu podataka.
Istražitelji u ESET- u sumnjaju da je server kompromitovan u prethodnoj kampanji i prenamijenjen za zlonamjerne aktivnosti, što ukazuje na prelazak sa lažiranja domena na kompromitovanu eksploataciju infrastrukture.
Izvor:CybersecurityNews