Hekerji uporabljajo slike za prikrivanje zlonamerne programske opreme, uvajanje VIP Keyloggerja in 0bj3ctivity Stealerja
Kibernetski kriminalci dvigujejo svojo taktiko prikrivanja na višjo raven z vdelavo zlonamerne kode v slikovne datoteke za dostavo zlonamerne programske opreme, kot sta VIP Keylogger in 0bj3ctivity Stealer, glede na poročilo HP Wolf Security Threat Insights Report za tretje četrtletje 2024. Te prefinjene kampanje izkoriščajo zaupanja vredne platforme, kot je Archive.org. za distribucijo zlonamerne programske opreme, pri čemer obidejo tradicionalne metode odkrivanja.
Kazalo
Kako deluje napad: zlonamerna programska oprema, skrita v slikah
Kampanje se začnejo z lažnim e-poštnim sporočilom, namenjenim zavajanju žrtev, da odprejo zlonamerne priponke . Ta e-poštna sporočila pogosto posnemajo račune ali naročila za pridobitev verodostojnosti. Ko je priloga odprta, sproži izkoriščanje zastarele ranljivosti Microsoft Equation Editor ( CVE-2017-11882 ) za prenos datoteke VBScript.
Napadna veriga
- E-pošta z lažnim predstavljanjem : žrtve prejmejo zavajajočo e-pošto z zlonamernimi prilogami.
- Izvajanje VBScript : preneseni VBScript izvaja skript PowerShell.
- Pridobivanje slike : PowerShell prenese sliko iz Archive.org.
- Ekstrakcija zlonamerne kode : slika vsebuje zlonamerno programsko opremo, kodirano z Base64, ki je ekstrahirana in dekodirana v izvršljivo datoteko .NET.
- Dostava koristne programske opreme : Nalagalnik .NET namesti končno koristno vsebino zlonamerne programske opreme.
V prvi kampanji je ta obremenitev VIP Keylogger, orodje, zasnovano za zajemanje pritiskov tipk, vsebine odložišča, posnetkov zaslona in poverilnic. V drugi kampanji je obremenitev 0bj3ctivity Stealer, zlonamerna programska oprema za krajo informacij.
Kompleti zlonamerne programske opreme znižujejo oviro za napadalce
Podobnosti med obema kampanjama kažejo, da kibernetski kriminalci izkoriščajo komplete zlonamerne programske opreme. Ti kompleti poenostavijo proces napada in zmanjšajo tehnično znanje, potrebno za izvajanje zapletenih verig okužb. Ta trend odraža vse večjo komodifikacijo kibernetske kriminalitete, kjer že zgrajena orodja celo začetnikom napadalcem olajšajo namestitev zlonamerne programske opreme.
Dodatne tehnike v uporabi
HP Wolf Security je tudi tihotapljenje HTML opredelil kot dopolnilno taktiko. Pri tej metodi napadalci dostavijo zlonamerno programsko opremo, kot je XWorm RAT , z uporabo AutoIt dropperjev, skritih v zlonamernih datotekah HTML. Nekatere od teh datotek naj bi bile ustvarjene z orodji GenAI, ki prikazujejo, kako se umetna inteligenca uporablja za izboljšanje dostave zlonamerne programske opreme in zamegljevanja.
Kampanje GitHub zagotavljajo Lumma Stealer
Druga omembe vredna kampanja je vključevala uporabo repozitorijev GitHub, ki so predstavljali vire za goljufije in orodja za spreminjanje video iger. Ti repozitoriji so na skrivaj distribuirali zlonamerno programsko opremo Lumma Stealer prek dropperjev, ki temeljijo na .NET, in poudarjali, kako napadalci izkoriščajo priljubljene platforme za ciljanje na nič hudega sluteče uporabnike.
Zakaj so napadi na podlagi slike nevarni
Vdelava zlonamerne programske opreme v slike je tehnika, znana kot steganografija, ki skrije zlonamerno kodo v na videz neškodljive datoteke. Ta metoda zaobide številne protivirusne sisteme, za katere je manj verjetno, da bodo natančno pregledali slikovne datoteke. Uporaba zaupanja vrednih gostiteljskih platform, kot je Archive.org, dodatno oteži prizadevanja za odkrivanje.
Strategije ublažitve za organizacije
Za obrambo pred temi razvijajočimi se grožnjami morajo organizacije izvesti naslednje ukrepe:
- Popravite znane ranljivosti : odpravite zastarele ranljivosti programske opreme, kot je CVE-2017-11882.
- Omogoči napredno zaznavanje groženj : uporabite rešitve, ki lahko zaznajo steganografijo in sumljivo vedenje datotek.
- Izobražite zaposlene : usposobite osebje za prepoznavanje lažnih e-poštnih sporočil in izogibanje odpiranju nepričakovanih prilog.
- Omejite dostop na zaupanja vredne vire : Omejite uporabo platform za skupno rabo datotek na odobrene domene.
Naraščajoče poblagovljenje kibernetske kriminalitete
Ko postajajo kompleti zlonamerne programske opreme bolj dostopni, lahko napadalci vseh ravni znanja sestavijo učinkovite verige okužb. Integracija orodij umetne inteligence pri ustvarjanju zlonamerne programske opreme dodatno poveča izziv za zagovornike kibernetske varnosti, zaradi česar so napadi bolj raznoliki in jih je težje pripisati.
Ugotovitve HP Wolf Security poudarjajo, da je nujno, da ostanemo pred temi razvijajočimi se grožnjami. S sprejetjem proaktivnih obrambnih strategij in spremljanjem nastajajočih taktik lahko organizacije bolje zaščitijo svoja omrežja pred temi prefinjenimi kampanjami.