Nedavna istraga Trend Micro-a pokazuje da su grupe hakera koje upravljaju RedLineom i Vidarom počele koristiti iste metode za isporuku ransomware-a kao i za distribuciju kradljivaca informacija.
U jednom takvom specifičnom slučaju, žrtve su prvobitno dobile malware koji je ukrao informacije, a potpisan je certifikatima za potpisivanje koda proširene validacije (EV). Međutim, nakon nekog vremena, počeli su dobijati ransomware na isti način.
Uronimo u detalje
Između jula i avgusta pronađeno je više od 30 uzoraka potpisanih certifikatima EV kodova. Ovi uzorci su povezani sa vrstom malware-a za krađu informacija pod nazivom TrojanSpy.Win32.VIDAR.SMA.
- Svaki od ovih uzoraka izgledao je drugačije od ostalih, što je otežavalo otkrivanje.
- Kada su u pitanju RedLine i Vidar, istraživači sumnjaju da osoba koja je potpisala ove EV certifikate vjerovatno posjeduje fizički sigurnosni token ili ima pristup računaru s kojim je sigurnosni token povezan.
- Žrtva je najprije primila info-stealer iz više kampanja počevši oko 10. jula ove godine. Nakon toga, 9. avgusta, pogođeni su napadom ransomware-a.
- Ransomware je na kraju instaliran nakon što su prevareni da preuzmu i otvore lažni prilog za žalbu na TripAdvisoru.
Korišćeni TTP-ovi
RedLine i Vidar operateri koriste dobro poznate taktike da prevare žrtve da pokrenu maliciozne datoteke:
- Izrađuju spear-phishing poruke za krađu identiteta sa uvjerljivim jezikom koji poziva primaoce da preduzmu hitnu akciju, često se vrte oko zdravstvenih i hotelskih pitanja.
- Koriste dvostruke ekstenzije datoteka da obmanu korisnike. Na primjer, one čine da datoteke izgledaju kao da su PDF ili JPEG, dok su u stvarnosti EXE datoteke koje pokreću infekciju kada se otvore.
- Pored navedenog, Redline i Vidar postavljaju LNK datoteke koje sadrže uputstva za izvršavanje maliciozne datoteke, izbjegavajući otkrivanje.
Zaključak
Ključno je konfigurisati i ažurirati odbrambene sisteme koji blokiraju prijetnje prije nego što dođu do korisnika. Stručnjaci savjetuju organizacijama da usvoje proaktivan pristup u sprječavanju napada u ranoj fazi ciklusa prijetnji. Osim toga, korisnici moraju izbjegavati preuzimanje datoteka iz nepouzdanih izvora i trebaju imati višeslojne sigurnosne sisteme za svoje uređaje i mreže.
Izvor: Cyware Alerts – Hacker News
