Хакери използват изображения, за да прикрият зловреден софтуер, внедряват VIP Keylogger и 0bj3ctivity Stealer
Киберпрестъпниците издигат своите стелт тактики на следващото ниво, като вграждат злонамерен код във файлове с изображения, за да доставят злонамерен софтуер като VIP Keylogger и 0bj3ctivity Stealer, според доклада Threat Insights на HP Wolf Security за Q3 на 2024 г. Тези сложни кампании използват надеждни платформи като Archive.org за разпространение на зловреден софтуер, като заобикаля традиционните методи за откриване.
Съдържание
Как работи атаката: Зловреден софтуер, скрит в изображения
Кампаниите започват с фишинг имейл, предназначен да подмами жертвите да отворят злонамерени прикачени файлове . Тези имейли често имитират фактури или поръчки за покупка, за да изградят доверие. Веднъж отворен, прикаченият файл задейства експлойт за остарялата уязвимост на Microsoft Equation Editor ( CVE-2017-11882 ), за да изтегли VBScript файл.
Веригата на атаката
- Фишинг имейл : Жертвите получават измамни имейли, съдържащи злонамерени прикачени файлове.
- Изпълнение на VBScript : Изтегленият VBScript изпълнява скрипт на PowerShell.
- Извличане на изображение : PowerShell изтегля изображение от Archive.org.
- Извличане на злонамерен код : Изображението съдържа Base64-кодиран зловреден софтуер, който се извлича и декодира в .NET изпълним файл.
- Доставка на полезния товар : Зареждащият .NET инсталира последния полезен товар на зловреден софтуер.
В първата кампания този полезен товар е VIP Keylogger, инструмент, предназначен да улавя натискания на клавиши, съдържание на клипборда, екранни снимки и идентификационни данни. Във втората кампания полезният товар е 0bj3ctivity Stealer, зловреден софтуер за кражба на информация.
Комплектите за зловреден софтуер намаляват бариерата за нападателите
Приликите между двете кампании показват, че киберпрестъпниците използват комплекти за зловреден софтуер. Тези комплекти рационализират процеса на атака, намалявайки техническата експертиза, необходима за изпълнение на сложни вериги от инфекции. Тази тенденция отразява нарастващата комерсиализация на киберпрестъпленията, където предварително изградените инструменти улесняват дори начинаещите нападатели да разположат зловреден софтуер.
Допълнителни техники в употреба
HP Wolf Security също определи контрабандата на HTML като допълнителна тактика. При този метод нападателите доставят злонамерен софтуер като XWorm RAT, използвайки AutoIt капкомери, скрити в злонамерени HTML файлове. Съобщава се, че някои от тези файлове са генерирани с помощта на инструменти на GenAI, показващи как изкуственият интелект се използва за подобряване на доставката на зловреден софтуер и обфускацията.
Кампаниите на GitHub доставят Lumma Stealer
Друга забележителна кампания включва използването на хранилища на GitHub, които се представят като източници за мами и инструменти за модификация на видеоигри. Тези хранилища тайно разпространяват злонамерен софтуер Lumma Stealer чрез базирани на .NET капки, подчертавайки как нападателите експлоатират популярни платформи, за да се насочат към нищо неподозиращи потребители.
Защо базираните на изображения атаки са заплашителни
Вграждането на злонамерен софтуер в изображения е техника, известна като стеганография, която скрива злонамерен код в привидно безобидни файлове. Този метод заобикаля много антивирусни системи, които е по-малко вероятно да проверяват файловете с изображения. Използването на доверени хостинг платформи като Archive.org допълнително усложнява усилията за откриване.
Стратегии за смекчаване за организации
За защита срещу тези развиващи се заплахи организациите трябва да прилагат следните мерки:
- Корекция на известни уязвимости : Обърнете внимание на остарели софтуерни уязвимости като CVE-2017-11882.
- Активиране на разширено откриване на заплахи : Използвайте решения, способни да откриват стеганография и подозрително поведение на файлове.
- Обучете служителите : Обучете персонала да разпознава фишинг имейли и да избягва отварянето на неочаквани прикачени файлове.
- Ограничете достъпа до надеждни източници : Ограничете използването на платформи за споделяне на файлове до одобрени домейни.
Нарастващата комодификация на киберпрестъпността
Тъй като комплектите за злонамерен софтуер стават по-достъпни, нападателите от всички нива на умения могат да създадат ефективни вериги за заразяване. Интегрирането на AI инструменти в създаването на зловреден софтуер допълнително усилва предизвикателството за защитниците на киберсигурността, правейки атаките по-разнообразни и по-трудни за приписване.
Констатациите на HP Wolf Security подчертават неотложната необходимост от изпреварване на тези развиващи се заплахи. Чрез приемане на проактивни стратегии за защита и наблюдение на нововъзникващите тактики, организациите могат по-добре да защитят своите мрежи срещу тези сложни кампании.