Pojavila se sofisticirana phishing kampanja usmjerena na turska odbrambena i vazduhoplovna preduzeća, koja isporučuje vrlo izbjegavajuću varijantu malicioznog softvera Snake Keylogger putem lažnih e-poruka koje se lažno predstavljaju kao TUSAŞ (Turkish Aerospace Industries).
Zlonamjerna kampanja distribuira datoteke prikrivene kao ugovorni dokumenti, koristeći naziv datoteke „TEKLİF İSTEĞİ – TUSAŞ TÜRK HAVACILIK UZAY SANAYİİ_xlsx.exe“ kako bi prevarila primaoce i navela ih da izvrše paket.
Varijanta Snake Keyloggera pokazuje napredne mogućnosti perzistentnosti i sofisticirane tehnike izbjegavanja koje mu omogućavaju da radi neotkriveno unutar kompromitovanih sistema .
Nakon izvršenja, zlonamjerni softver odmah uspostavlja više slojeva perzistencije, istovremeno implementirajući mehanizme protiv detekcije kako bi osigurao dugoročni pristup sistemima žrtve.
Ciljani pristup kampanje prema izvođačima radova u odbrambenoj industriji ukazuje na strateški fokus na operacije prikupljanja obavještajnih podataka visoke vrijednosti.
Istraživači malicioznog softvera identifikovali su ovaj poseban soj tokom analize nedavnih phishing kampanja, primjećujući sofisticiranu upotrebu legitimnih Windows uslužnih programa od strane malicioznog softvera kako bi održao postojanost i izbjegao sigurnosne kontrole.
.webp)
Primjer, sa SHA256 hešem 0cb819d32cb3a2f218c5a17c02bb8c06935e926ebacf1e40a746b01e960c68e4, predstavlja se kao PE32 izvršna datoteka napisana u .NET-u, koristeći više slojeva raspakivanja kako bi prikrio svoju pravu funkcionalnost.
Primarni ciljevi keyloggera uključuju pristupne podatke, kolačiće i finansijske informacije izvučene iz preko 30 različitih preglednika i email klijenata, uključujući Chrome, Firefox, Outlook i Thunderbird.
.webp)
Osim toga, zlonamjerni softver prikuplja podatke za automatsko popunjavanje, informacije o kreditnim karticama, historiju preuzimanja i najpopularnije web stranice s kompromitovanih sistema prije nego što ukradene podatke putem SMTP-a prenese na servere mail.htcp.homes.
Napredni mehanizmi upornosti i izbjegavanja
Maliciozni softver koristi dvostruki pristup kako bi uspostavio perzistentnost , a istovremeno izbjegao sisteme detekcije.
Nakon izvršavanja, odmah poziva PowerShell da se doda na listu isključenja Windows Defendera pomoću naredbe Add-MpPreference -Excl, efektivno neutralizirajući ugrađenu zaštitu od malicioznog softvera.
Ova operacija se izvršava putem sistemskog poziva NtCreateUserProcess, pokretanjem powershell .exe datoteke sa povišenim privilegijama za izmjenu sigurnosnih konfiguracija.
Istovremeno, maliciozni softver kreira planirani zadatak pod nazivom „Updates\oNqxPR“ koristeći schtasks.exe kako bi osigurao automatsko izvršavanje pri pokretanju sistema.
Proces kreiranja planiranog zadatka uključuje generisanje XML konfiguracijske datoteke koja definiše parametre izvršavanja, omogućavajući malicioznom softveru da ostane aktivan i nakon ponovnog pokretanja sistema bez interakcije korisnika.
Ova tehnika koristi legitimnu funkcionalnost zakazivanja zadataka u Windowsu , što otkrivanje čini znatno izazovnijim za tradicionalna sigurnosna rješenja.
Izvor: CyberSecurityNews