Nepoznati haker cilja na vlade APAC-a i Sjeverne Amerike malicioznim softverom i ransomware-om za krađu informacija, navodi Menlo Security.
Napadi grupe započinju phishing email-om koji sadrži maliciozni Discord link, koji upućuje na zip datoteku zaštićenu lozinkom. To zauzvrat sadrži .NET program za preuzimanje malicioznog softvera poznatog kao PureCrypter.
Učitavač će pokušati da preuzme sekundarni payload iz infrastrukture za komandu i kontrolu grupe (C2), koja je ugrožena domena koja pripada neprofitnoj organizaciji, rekao je Menlo Security.
Među malicioznim sadržajima koji su uočeni u ovoj kampanji su razne krađe informacija i varijante ransomware-a: Redline Stealer, AgentTesla, Eternity, Blackmoon i Philadelphia ransomware.
U uzorku koji su analizirali stručnjaci za bezbjednost, PureCrypter pokušava preuzeti AgentTesla, napredni backdoor dizajniran za krađu lozinki baziranih na pretraživaču, kao i snimanje ekrana i prijavljivanje pritisaka na tipke.
“U našoj istrazi otkrili smo da AgentTesla uspostavlja vezu sa FTP serverom gdje pohranjuje kredencijale ukradene od žrtvi. Čini se da je FTP server preuzet i da su procurili kredencijali za domenu pronađeni na mreži, što sugeriše da su hakeri koristili ove kredencijale da bi dobili pristup serveru” otkriva se u izvještaju.
“FTP server je takođe viđen u kampanji koja koristi OneNote za isporuku malicioznog softvera. Napadači su slali phishing email sa linkovima do malicioznih OneNote datoteka koje mogu preuzeti dodatni maliciozni softver ili ukrasti informacije sa uređaja žrtve. Sveukupno, laboratorijski tim je pronašao 106 datoteka koristeći navedeni FTP server.”
AgentTesla postoji već nekoliko godina, ali je i dalje popularan među hakerima.
Trojanac za daljinski pristup (RAT) i kradljivac informacija bili su najčešće korišteni maliciozni softveri u oktobru 2022. godine, čineći 7% globalnih detekcija koje je otkrio Check Point Software.
Maliciozni softver je bio na trećem mjestu u mjesečnom izvještaju dobavljača Global Threat Index za januar 2023. godine.
Izvor: Infosecurity Magazine