Napadači koriste staru ranjivost Microsoft Officea kao dio phishing kampanja za distribuciju vrste zlonamjernog softvera pod nazivom Agent Tesla.
Lanci infekcije koriste lažne Excel dokumente priložene u porukama s temom faktura kako bi prevarili potencijalne mete da ih otvore i aktivirali eksploataciju CVE-2017-11882 (CVSS rezultat: 7,8), ranjivost oštećenja memorije u Office-ovom editoru jednačina koja može rezultirati izvršavanjem koda s privilegijama korisnika.
Nalazi, koji dolaze od Zscaler ThreatLabz, nadovezuju se na prethodne izvještaje Fortinet FortiGuard Labs, koji su detaljno opisivali sličnu phishing kampanju koja je iskorištavala sigurnosni propust za isporuku zlonamjernog softvera.
“Kada korisnik preuzme zlonamjerni dodatak i otvori ga, ako je njegova verzija Microsoft Excel-a ranjiva, Excel datoteka započinje komunikaciju sa zlonamjernim odredištem i nastavlja s preuzimanjem dodatnih datoteka bez potrebe za daljnjom interakcijom korisnika,” rekao je istraživač sigurnosti Kaivalya Khursale.
Prvi payload je zamagljena Visual Basic skripta, koja inicira preuzimanje zlonamjerne JPG datoteke koja dolazi ugrađena s Base64 kodiranom DLL datotekom. Ovu steganografsku taktiku izbjegavanja prethodno je detaljno opisala McAfee Labs u septembru 2023.
Skriveni DLL se naknadno ubacuje u RegAsm.exe, Windows Assembly Registration Tool, kako bi se pokrenuo konačni payload. Vrijedi napomenuti da je izvršni fajl također bio zloupotrebljen za učitavanje Quasar RAT-a u prošlosti.
Agent Tesla je .NET-bazirani napredni keylogger i trojanac za daljinski pristup (RAT) koji je opremljen za prikupljanje osjetljivih informacija sa kompromitiranih hostova. Malver zatim komunicira s udaljenim serverom kako bi izdvojio prikupljene podatke.
“Hakeri stalno prilagođavaju metode zaraze, zbog čega je imperativ za organizacije da budu u toku s razvojem sajber prijetnji kako bi zaštitile svoj digitalni krajolik,” Khursale je rekao.
Razvoj dolazi kada stare sigurnosne mane postaju nove mete napada za hakere. Ranije ove sedmice, Imperva je otkrila da tri godine star nedostatak Oracle WebLogic Servera (CVE-2020-14883, CVSS rezultat: 7.2) koristi 8220 Gang za isporuku rudara kriptovaluta.
Također se poklapa s porastom aktivnosti DarkGate malvera nakon što je počeo da se oglašava ranije ove godine kao malware-as-a-service (MaaS) i kao zamjena za QakBot nakon njegovog uklanjanja u avgustu 2023.
“Tehnološki sektor je najviše pogođen DarkGate kampanjama napada,” rekao je Zscaler, citirajući podatke telemetrije korisnika.
“Većina DarkGate domena je stara 50 do 60 dana, što može ukazivati na namjerni pristup gdje hakeri kreiraju i rotiraju domene u određenim intervalima.”
Otkrivene su i phishing kampanje u vezi s rezervacijama koje ciljaju ugostiteljski sektor s porukama e-pošte za distribuciju malvera za krađu informacija kao što su RedLine Stealer ili Vidar Stealer, navodi Sophos.
“U početku kontaktiraju cilj putem e-pošte koja ne sadrži ništa osim teksta, ali s temom na koju bi tvrtka orijentisana na usluge (kao što je hotel) željela brzo odgovoriti,” Istraživači Andrew Brandt i Sean Gallagher kažu.
“Tek nakon što meta odgovori na početnu e-poštu hakera, haker šalje naknadnu poruku povezujući se s detaljima za koje tvrde da su detalji o njihovom zahtjevu ili žalbi.”
Bez obzira na kradljivce i trojance, phishing napadi su dalje poprimili oblik lažnih Instagram mejlova “Povreda autorskih prava” kako bi se domogli rezervnih kodova za dvofaktornu autentifikaciju (2FA) putem lažnih web stranica s ciljem da se zaobiđu zaštite naloga, šema koja se zove Insta-Phish-A-Gram.
“Podaci koje napadači pribave iz ove vrste phishing napada mogu se prodati pod zemljom ili koristiti za preuzimanje računa,” rekla je firma za sajber sigurnost.
Izvor: The Hacker News