האקרים משתמשים בתמונות כדי להסתיר תוכנות זדוניות, לפרוס VIP Keylogger ו-0bj3ctivity Stealer
פושעי סייבר לוקחים את טקטיקת ההתגנבות שלהם לשלב הבא על ידי הטמעת קוד זדוני בקובצי תמונה כדי לספק תוכנות זדוניות כגון VIP Keylogger ו-0bj3ctivity Stealer, על פי דוח האיום של HP Wolf Security לרבעון השלישי של 2024. מסעות פרסום מתוחכמים אלה מנצלים פלטפורמות מהימנות כמו Archive.org להפיץ תוכנות זדוניות תוך עקיפת שיטות זיהוי מסורתיות.
תוכן העניינים
כיצד פועלת המתקפה: תוכנה זדונית מוסתרת בתמונות
הקמפיינים מתחילים באימייל דיוג שנועד להונות קורבנות ולפתוח קבצים מצורפים זדוניים . הודעות דוא"ל אלו מחקות לרוב חשבוניות או הזמנות רכש כדי לבנות אמינות. לאחר פתיחתו, הקובץ המצורף מפעיל ניצול של הפגיעות המיושנת של Microsoft Equation Editor ( CVE-2017-11882 ) להורדת קובץ VBScript.
שרשרת ההתקפה
- דוא"ל פישינג : קורבנות מקבלים הודעת דוא"ל מטעה המכילה קבצים מצורפים זדוניים.
- ביצוע VBScript : ה-VBScript שהורד מריץ סקריפט PowerShell.
- אחזור תמונה : PowerShell מוריד תמונה מ- Archive.org.
- חילוץ קוד זדוני : התמונה מכילה תוכנה זדונית מקודדת Base64 שחולצת ומפענחת לקובץ הפעלה NET.
- אספקת מטענים : מטעין ה-.NET מתקין את המטען האחרון של תוכנות זדוניות.
בקמפיין הראשון, המטען הזה הוא VIP Keylogger, כלי שנועד ללכוד הקשות, תוכן לוח, צילומי מסך ואישורים. בקמפיין השני, המטען הוא 0bj3ctivity Stealer, תוכנה זדונית גונבת מידע.
ערכות תוכנות זדוניות מורידות את המחסום עבור תוקפים
הדמיון בין שני הקמפיינים מצביע על כך שפושעי סייבר ממנפים ערכות תוכנות זדוניות. ערכות אלו מייעלות את תהליך ההתקפה, ומפחיתות את המומחיות הטכנית הנדרשת לביצוע שרשראות זיהומים מורכבות. מגמה זו משקפת את הסחורה ההולכת וגוברת של פשעי סייבר, כאשר כלים מובנים מראש מקלים אפילו על תוקפים מתחילים לפרוס תוכנות זדוניות.
טכניקות נוספות בשימוש
HP Wolf Security זיהתה גם הברחת HTML כטקטיקה משלימה. בשיטה זו, תוקפים מספקים תוכנות זדוניות כמו XWorm RAT באמצעות טפטפות AutoIt המוסתרות בקובצי HTML זדוניים. על פי הדיווחים, חלק מהקבצים הללו נוצרו באמצעות כלי GenAI, המציגים כיצד נעשה שימוש בבינה מלאכותית כדי לשפר אספקת תוכנות זדוניות וערפול.
קמפיינים של GitHub מספקים את הגנב של Lumma
עוד מסע פרסום ראוי לציון כלל שימוש במאגרי GitHub שהתחזו כמקורות לרמאות של משחקי וידאו וכלי שינוי. מאגרים אלה הפיצו בחשאי תוכנות זדוניות של Lumma Stealer באמצעות מטפטפות מבוססות NET, והדגישו כיצד תוקפים מנצלים פלטפורמות פופולריות כדי לכוון למשתמשים תמימים.
מדוע התקפות מבוססות תמונה מאיימות
הטמעת תוכנות זדוניות בתמונות היא טכניקה המכונה סטגנוגרפיה, המסתירה קוד זדוני בקבצים שנראים לא מזיקים. שיטה זו עוקפת מערכות אנטי-וירוס רבות, אשר נוטות פחות לבחון קבצי תמונה. השימוש בפלטפורמות אירוח מהימנות כמו Archive.org מסבך עוד יותר את מאמצי הזיהוי.
אסטרטגיות הפחתה לארגונים
כדי להתגונן מפני איומים מתפתחים אלה, ארגונים צריכים ליישם את האמצעים הבאים:
- תיקון פגיעויות ידועות : טיפול בפרצות תוכנה מיושנות כמו CVE-2017-11882.
- אפשר זיהוי איומים מתקדם : השתמש בפתרונות המסוגלים לזהות סטגנוגרפיה והתנהגות קבצים חשודה.
- השכילו עובדים : הדריכו את הצוות לזהות הודעות דיוג ולהימנע מפתיחת קבצים מצורפים בלתי צפויים.
- הגבל גישה למקורות מהימנים : הגבל את השימוש בפלטפורמות שיתוף קבצים לדומיינים מאושרים.
הסחורה הגוברת של פשעי סייבר
כאשר ערכות תוכנות זדוניות הופכות לנגישות יותר, תוקפים בכל רמות המיומנות יכולים להרכיב שרשראות זיהום יעילות. השילוב של כלי בינה מלאכותית ביצירת תוכנות זדוניות מגביר עוד יותר את האתגר עבור מגיני אבטחת סייבר, מה שהופך את ההתקפות למגוונות יותר וקשות יותר לייחס אותן.
הממצאים של HP Wolf Security מדגישים את הדחיפות של להישאר לפני האיומים המתפתחים הללו. על ידי אימוץ אסטרטגיות הגנה פרואקטיביות ומעקב אחר טקטיקות מתפתחות, ארגונים יכולים להגן טוב יותר על הרשתות שלהם מפני הקמפיינים המתוחכמים הללו.