Hackare använder bilder för att dölja skadlig programvara, distribuera VIP Keylogger och 0bj3ctivity Stealer
Cyberkriminella tar sin smygtaktik till nästa nivå genom att bädda in skadlig kod i bildfiler för att leverera skadlig kod som VIP Keylogger och 0bj3ctivity Stealer, enligt HP Wolf Securitys Threat Insights-rapport för tredje kvartalet 2024. Dessa sofistikerade kampanjer utnyttjar betrodda plattformar som Archive.org att distribuera skadlig programvara samtidigt som de kringgår traditionella upptäcktsmetoder.
Innehållsförteckning
Hur attacken fungerar: Skadlig programvara dold i bilder
Kampanjerna börjar med ett nätfiskemeddelande som är utformat för att lura offren att öppna skadliga bilagor . Dessa e-postmeddelanden efterliknar ofta fakturor eller inköpsorder för att skapa trovärdighet. När bilagan väl har öppnats utlöser den en exploatering för den föråldrade sårbarheten Microsoft Equation Editor ( CVE-2017-11882 ) för att ladda ner en VBScript-fil.
Attackkedjan
- Nätfiske-e-post : Offren får ett bedrägligt e-postmeddelande som innehåller skadliga bilagor.
- VBScript-exekvering : Det nedladdade VBScriptet kör ett PowerShell-skript.
- Bildhämtning : PowerShell laddar ner en bild från Archive.org.
- Extrahering av skadlig kod : Bilden innehåller Base64-kodad skadlig kod som extraheras och avkodas till en körbar .NET.
- Leverans av nyttolast : .NET-lastaren installerar den sista skadliga nyttolasten.
I den första kampanjen är denna nyttolast VIP Keylogger, ett verktyg utformat för att fånga tangenttryckningar, urklippsinnehåll, skärmdumpar och referenser. I den andra kampanjen är nyttolasten 0bj3ctivity Stealer, en skadlig programvara som stjäl information.
Malware-satser sänker barriären för angripare
Likheterna mellan de två kampanjerna indikerar att cyberbrottslingar utnyttjar malware-kit. Dessa kit effektiviserar attackprocessen, vilket minskar den tekniska expertis som krävs för att utföra komplexa infektionskedjor. Denna trend återspeglar den ökande kommersialiseringen av cyberbrottslighet, där förbyggda verktyg gör det lättare för även nybörjare angripare att distribuera skadlig programvara.
Ytterligare tekniker som används
HP Wolf Security identifierade också HTML-smuggling som en kompletterande taktik. I den här metoden levererar angripare skadlig programvara som XWorm RAT med hjälp av AutoIt-droppare gömda i skadliga HTML-filer. Vissa av dessa filer har enligt uppgift skapats med GenAI-verktyg, som visar hur artificiell intelligens används för att förbättra leveransen av skadlig programvara och fördunkling.
GitHub-kampanjer levererar Lumma Stealer
En annan anmärkningsvärd kampanj involverade användningen av GitHub-förråd som utgjorde källor för fusk och modifieringsverktyg för videospel. Dessa förvar distribuerade i hemlighet Lumma Stealer skadlig kod via .NET-baserade droppare, och lyfte fram hur angripare utnyttjar populära plattformar för att rikta sig mot intet ont anande användare.
Varför bildbaserade attacker är hotande
Att bädda in skadlig kod i bilder är en teknik som kallas steganografi, som döljer skadlig kod i till synes ofarliga filer. Denna metod kringgår många antivirussystem, som är mindre benägna att granska bildfiler. Användningen av pålitliga värdplattformar som Archive.org komplicerar ytterligare upptäcktsarbetet.
Begränsningsstrategier för organisationer
För att försvara sig mot dessa föränderliga hot bör organisationer genomföra följande åtgärder:
- Korrigera kända sårbarheter : Åtgärda sårbarheter i föråldrad programvara som CVE-2017-11882.
- Aktivera avancerad hotdetektion : Använd lösningar som kan upptäcka steganografi och misstänkt filbeteende.
- Utbilda anställda : Utbilda personalen att känna igen nätfiske-e-postmeddelanden och undvika att öppna oväntade bilagor.
- Begränsa åtkomst till betrodda källor : Begränsa användningen av fildelningsplattformar till godkända domäner.
Den växande kommodifieringen av cyberbrottslighet
I takt med att malware-kit blir mer tillgängliga kan angripare på alla nivåer skapa effektiva infektionskedjor. Integrationen av AI-verktyg i skapande av skadlig programvara förstärker utmaningen för cybersäkerhetsförsvarare ytterligare, vilket gör attacker mer varierande och svårare att tillskriva.
HP Wolf Securitys resultat understryker hur brådskande det är att ligga steget före dessa föränderliga hot. Genom att anta proaktiva försvarsstrategier och övervaka nya taktiker kan organisationer bättre skydda sina nätverk mot dessa sofistikerade kampanjer.