Hackere bruker bilder for å skjule skadelig programvare, distribuere VIP Keylogger og 0bj3ctivity Stealer
Nettkriminelle tar stealth-taktikkene sine til neste nivå ved å bygge inn skadelig kode i bildefiler for å levere skadevare som VIP Keylogger og 0bj3ctivity Stealer, ifølge HP Wolf Securitys Threat Insights Report for Q3 2024. Disse sofistikerte kampanjene utnytter pålitelige plattformer som Archive.org å distribuere skadelig programvare mens du omgår tradisjonelle deteksjonsmetoder.
Innholdsfortegnelse
Hvordan angrepet fungerer: Malware skjult i bilder
Kampanjene begynner med en phishing - e - post laget for å lure ofre til å åpne ondsinnede vedlegg . Disse e-postene etterligner ofte fakturaer eller innkjøpsordrer for å bygge troverdighet. Når det åpnes, utløser vedlegget en utnyttelse av den utdaterte Microsoft Equation Editor-sårbarheten ( CVE-2017-11882 ) for å laste ned en VBScript-fil.
Angrepskjeden
- Phishing-e-post : Ofrene mottar en villedende e-post som inneholder ondsinnede vedlegg.
- VBScript-utførelse : Det nedlastede VBScriptet kjører et PowerShell-skript.
- Bildehenting : PowerShell laster ned et bilde fra Archive.org.
- Utvinning av skadelig kode : Bildet inneholder Base64-kodet skadelig programvare som trekkes ut og dekodes til en .NET-kjørbar fil.
- Nyttelastlevering : .NET-lasteren installerer den endelige skadevarelasten.
I den første kampanjen er denne nyttelasten VIP Keylogger, et verktøy utviklet for å fange opp tastetrykk, utklippstavleinnhold, skjermbilder og legitimasjon. I den andre kampanjen er nyttelasten 0bj3ctivity Stealer, en skadelig programvare som stjeler informasjon.
Malware-sett senker barrieren for angripere
Likhetene mellom de to kampanjene indikerer at nettkriminelle utnytter malware-sett. Disse settene strømlinjeformer angrepsprosessen, og reduserer den tekniske ekspertisen som kreves for å utføre komplekse infeksjonskjeder. Denne trenden gjenspeiler den økende kommodifiseringen av nettkriminalitet, der forhåndsbygde verktøy gjør det enklere for selv nybegynnere å distribuere skadelig programvare.
Ytterligere teknikker i bruk
HP Wolf Security identifiserte også HTML-smugling som en komplementær taktikk. I denne metoden leverer angripere skadelig programvare som XWorm RAT ved å bruke AutoIt-dropper gjemt i ondsinnede HTML-filer. Noen av disse filene ble angivelig generert ved hjelp av GenAI-verktøy, som viser hvordan kunstig intelligens brukes til å forbedre levering og tilsløring av skadelig programvare.
GitHub-kampanjer leverer Lumma Stealer
En annen bemerkelsesverdig kampanje involverte bruken av GitHub-depoter som poserte som kilder for juksekoder for videospill og modifikasjonsverktøy. Disse lagrene distribuerte i all hemmelighet Lumma Stealer malware via .NET-baserte droppere, og fremhevet hvordan angripere utnytter populære plattformer for å målrette mot intetanende brukere.
Hvorfor bildebaserte angrep er truende
Innbygging av skadelig programvare i bilder er en teknikk kjent som steganografi, som skjuler ondsinnet kode i tilsynelatende ufarlige filer. Denne metoden omgår mange antivirussystemer, som er mindre sannsynlig å granske bildefiler. Bruken av pålitelige vertsplattformer som Archive.org kompliserer deteksjonsarbeidet ytterligere.
Begrensningsstrategier for organisasjoner
For å forsvare seg mot disse utviklende truslene, bør organisasjoner implementere følgende tiltak:
- Oppdater kjente sårbarheter : Løs utdaterte programvaresårbarheter som CVE-2017-11882.
- Aktiver avansert trusseldeteksjon : Bruk løsninger som er i stand til å oppdage steganografi og mistenkelig filadferd.
- Lær opp ansatte : Lær opp ansatte til å gjenkjenne phishing-e-poster og unngå å åpne uventede vedlegg.
- Begrens tilgang til klarerte kilder : Begrens bruken av fildelingsplattformer til godkjente domener.
Den voksende kommodifiseringen av nettkriminalitet
Etter hvert som malware-sett blir mer tilgjengelige, kan angripere på alle ferdighetsnivåer sette sammen effektive infeksjonskjeder. Integreringen av AI-verktøy i opprettelse av skadelig programvare forsterker utfordringen for nettsikkerhetsforsvarere ytterligere, noe som gjør angrep mer varierte og vanskeligere å tilskrive.
HP Wolf Securitys funn understreker hvor presserende det er å være i forkant av disse stadige truslene. Ved å ta i bruk proaktive forsvarsstrategier og overvåke nye taktikker, kan organisasjoner bedre beskytte sine nettverk mot disse sofistikerte kampanjene.