Οι χάκερ χρησιμοποιούν εικόνες για να αποκρύψουν κακόβουλο λογισμικό, να αναπτύξουν το VIP Keylogger και το 0bj3ctivity Stealer

Μέχρι το Mura το Ασφάλεια Υπολογιστών

Μετάφραση σε:

Οι εγκληματίες του κυβερνοχώρου πηγαίνουν τις μυστικές τακτικές τους στο επόμενο επίπεδο ενσωματώνοντας κακόβουλο κώδικα σε αρχεία εικόνας για την παροχή κακόβουλου λογισμικού όπως το VIP Keylogger και το 0bj3ctivity Stealer, σύμφωνα με την Έκθεση Threat Insights της HP Wolf Security για το τρίτο τρίμηνο του 2024. Αυτές οι εξελιγμένες καμπάνιες εκμεταλλεύονται αξιόπιστες πλατφόρμες όπως η Archive.org. για τη διανομή κακόβουλου λογισμικού παρακάμπτοντας τις παραδοσιακές μεθόδους ανίχνευσης.

Πίνακας περιεχομένων

Πώς λειτουργεί η επίθεση: Κακόβουλο λογισμικό κρυμμένο σε εικόνες

Οι καμπάνιες ξεκινούν με ένα ηλεκτρονικό "ψάρεμα" που έχει σχεδιαστεί για να παραπλανήσει τα θύματα να ανοίξουν κακόβουλα συνημμένα . Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου συχνά μιμούνται τιμολόγια ή παραγγελίες αγοράς για να δημιουργήσουν αξιοπιστία. Μόλις ανοίξει, το συνημμένο ενεργοποιεί μια εκμετάλλευση για την ξεπερασμένη ευπάθεια του Microsoft Equation Editor ( CVE-2017-11882 ) για τη λήψη ενός αρχείου VBScript.

Η αλυσίδα της επίθεσης

Email ηλεκτρονικού ψαρέματος : Τα θύματα λαμβάνουν ένα παραπλανητικό μήνυμα ηλεκτρονικού ταχυδρομείου που περιέχει κακόβουλα συνημμένα.
Εκτέλεση VBScript : Το ληφθέν VBScript εκτελεί μια δέσμη ενεργειών PowerShell.
Ανάκτηση εικόνας : Το PowerShell κατεβάζει μια εικόνα από το Archive.org.
Εξαγωγή κακόβουλου κώδικα : Η εικόνα περιέχει κακόβουλο λογισμικό με κωδικοποίηση Base64 που εξάγεται και αποκωδικοποιείται σε ένα εκτελέσιμο αρχείο .NET.
Παράδοση ωφέλιμου φορτίου : Το πρόγραμμα φόρτωσης .NET εγκαθιστά το τελικό ωφέλιμο φορτίο κακόβουλου λογισμικού.

Στην πρώτη καμπάνια, αυτό το ωφέλιμο φορτίο είναι το VIP Keylogger, ένα εργαλείο που έχει σχεδιαστεί για να καταγράφει πατήματα πλήκτρων, περιεχόμενο στο πρόχειρο, στιγμιότυπα οθόνης και διαπιστευτήρια. Στη δεύτερη καμπάνια, το ωφέλιμο φορτίο είναι το 0bj3ctivity Stealer, ένα κακόβουλο λογισμικό που κλέβει πληροφορίες.

Τα κιτ κακόβουλου λογισμικού χαμηλώνουν το εμπόδιο για τους επιτιθέμενους

Οι ομοιότητες μεταξύ των δύο καμπανιών δείχνουν ότι οι εγκληματίες του κυβερνοχώρου αξιοποιούν κιτ κακόβουλου λογισμικού. Αυτά τα κιτ απλοποιούν τη διαδικασία επίθεσης, μειώνοντας την τεχνική τεχνογνωσία που απαιτείται για την εκτέλεση πολύπλοκων αλυσίδων μόλυνσης. Αυτή η τάση αντανακλά την αυξανόμενη εμπορευματοποίηση του εγκλήματος στον κυβερνοχώρο, όπου τα προκατασκευασμένα εργαλεία διευκολύνουν ακόμη και τους αρχάριους εισβολείς να αναπτύξουν κακόβουλο λογισμικό.

Πρόσθετες τεχνικές σε χρήση

Η HP Wolf Security προσδιόρισε επίσης το λαθρεμπόριο HTML ως συμπληρωματική τακτική. Σε αυτήν τη μέθοδο, οι εισβολείς παραδίδουν κακόβουλο λογισμικό όπως το XWorm RAT χρησιμοποιώντας σταγονόμετρο AutoIt κρυμμένο σε κακόβουλα αρχεία HTML. Ορισμένα από αυτά τα αρχεία φέρεται να δημιουργήθηκαν χρησιμοποιώντας εργαλεία GenAI, δείχνοντας πώς χρησιμοποιείται η τεχνητή νοημοσύνη για τη βελτίωση της παράδοσης και της συσκότισης κακόβουλου λογισμικού.

Οι καμπάνιες GitHub Deliver the Lumma Stealer

Μια άλλη αξιοσημείωτη καμπάνια περιελάμβανε τη χρήση αποθετηρίων GitHub που αποτελούσαν πηγές για απατεώνες βιντεοπαιχνιδιών και εργαλεία τροποποίησης. Αυτά τα αποθετήρια διένειμαν κρυφά κακόβουλο λογισμικό Lumma Stealer μέσω droppers που βασίζονται σε .NET, υπογραμμίζοντας πώς οι εισβολείς εκμεταλλεύονται δημοφιλείς πλατφόρμες για να στοχεύσουν ανυποψίαστους χρήστες.

Γιατί οι επιθέσεις με βάση την εικόνα είναι απειλητικές

Η ενσωμάτωση κακόβουλου λογισμικού σε εικόνες είναι μια τεχνική γνωστή ως steganography, η οποία κρύβει κακόβουλο κώδικα σε φαινομενικά αβλαβή αρχεία. Αυτή η μέθοδος παρακάμπτει πολλά συστήματα προστασίας από ιούς, τα οποία είναι λιγότερο πιθανό να ελέγχουν τα αρχεία εικόνας. Η χρήση αξιόπιστων πλατφορμών φιλοξενίας όπως το Archive.org περιπλέκει περαιτέρω τις προσπάθειες ανίχνευσης.

Στρατηγικές Μετριασμού για Οργανισμούς

Για την άμυνα έναντι αυτών των εξελισσόμενων απειλών, οι οργανισμοί θα πρέπει να εφαρμόσουν τα ακόλουθα μέτρα:

Επιδιόρθωση γνωστών ευπαθειών : Αντιμετωπίστε παλιές ευπάθειες λογισμικού όπως το CVE-2017-11882.
Ενεργοποίηση προηγμένης ανίχνευσης απειλών : Χρησιμοποιήστε λύσεις ικανές να ανιχνεύσουν στεγανογραφία και ύποπτη συμπεριφορά αρχείων.
Εκπαίδευση εργαζομένων : Εκπαιδεύστε το προσωπικό να αναγνωρίζει μηνύματα ηλεκτρονικού ψαρέματος και να αποφεύγει το άνοιγμα απροσδόκητων συνημμένων.
Περιορισμός πρόσβασης σε αξιόπιστες πηγές : Περιορίστε τη χρήση πλατφορμών κοινής χρήσης αρχείων σε εγκεκριμένους τομείς.

Η αυξανόμενη εμπορευματοποίηση του εγκλήματος στον κυβερνοχώρο

Καθώς τα κιτ κακόβουλου λογισμικού γίνονται πιο προσιτά, οι εισβολείς όλων των επιπέδων δεξιοτήτων μπορούν να συγκεντρώσουν αποτελεσματικές αλυσίδες μόλυνσης. Η ενσωμάτωση εργαλείων τεχνητής νοημοσύνης στη δημιουργία κακόβουλου λογισμικού ενισχύει περαιτέρω την πρόκληση για τους υπερασπιστές της κυβερνοασφάλειας, καθιστώντας τις επιθέσεις πιο ποικίλες και πιο δύσκολο να αποδοθούν.

Τα ευρήματα της HP Wolf Security υπογραμμίζουν την επείγουσα ανάγκη να παραμείνουμε μπροστά από αυτές τις εξελισσόμενες απειλές. Υιοθετώντας προληπτικές αμυντικές στρατηγικές και παρακολουθώντας τις αναδυόμενες τακτικές, οι οργανισμοί μπορούν να προστατεύσουν καλύτερα τα δίκτυά τους από αυτές τις περίπλοκες εκστρατείες.

Το SpyHunter της EnigmaSoft για Windows πέτυχε πιστοποίηση AV-TEST

Αναζήτηση

Αλλαγή Περιοχής