Napredna phishing kampanja, koja se predstavlja kao zvanična komunikacija Uprave za socijalno osiguranje (SSA), uspješno je ugrozila preko 2.000 uređaja, prema nedavnoj analizi. Ovaj napad, koji se oslanja na povjerenje povezano s vladinim dopisivanjem, predstavlja zabrinjavajuću evoluciju u taktikama društvenog inženjeringa, osmišljenim za isporuku zlonamjernih tereta nesuđenim žrtvama.
Kibernetički kriminalci koji stoje iza ove operacije koristili su višefazni pristup, prvo mameći žrtve putem e-poruka koje su sadržavale poveznice na uvjerljivo dizajnirane phishing stranice hostovane na infrastrukturi Amazon Web Services. Ova obmanjujuća kampanja usmjeravala je korisnike na lažnu internetsku stranicu koja je oponašala službenu komunikaciju SSA-e, potičući ih da „Pristupe izjavi“ putem istaknute dugmadi.
Po kliku, žrtve su preusmjerene na sekundarnu stranicu s uputama za preuzimanje onoga što se činilo kao njihova izjava o socijalnom osiguranju. Zlonamjerni softver, prikriven pod nazivom datoteke „US_SocialStatmet_ID544124.exe“, bio je dizajniran da izgleda legitimno, a istovremeno je sadržavao sofisticirani mehanizam tajnih vrata. Analitičari CyberArmora identificirali su ovaj zlonamjerni softver kao specijalizirani .NET učitavač aplikacija koji pokreće višefazni proces zaraze.
Njihova analiza otkrila je da početni izvršni program služi kao omotač koji raspakuje i pokreće ugrađene komponente dizajnirane za uspostavljanje trajnog daljinskog pristupa sistemima žrtava. Telemetrijski podaci iz sigurnosne firme potvrđuju da je značajan postotak od preko 2.000 korisnika koji su stupili u interakciju s phishing mamcem nesvjesno instalirao zlonamjerni softver.
Učinkovitost kampanje proizlazi iz iskorištavanja povjerljivih entiteta – kako autoriteta Uprave za socijalno osiguranje, tako i ugleda Amazonove infrastrukture za hostovanje – kako bi se zaobišla skepsa korisnika prema sigurnosti. Ciljanje se čini širokim, a ne fokusiranim na određene industrije, iako su financijski i zdravstveni sektor dobili savjete da vježbaju posebnu budnost.
Mehanizam zaraze, sa svojom tehničkom sofisticiranošću, postaje očigledan pri ispitivanju njegovog operativnog okvira. Nakon izvršavanja, .NET učitavač preuzima i raspoređuje više ugrađenih resursa ključnih za njegovu funkcionalnost. Primarne komponente uključuju rješavač odgovoran za učitavanje zavisnosti pohranjenih u mapi ‘FILES’, koje su neophodne za izvršavanje softvera za daljinski pristup ScreenConnect.
Zlonamjerni softver zatim pokreće datoteku ‘ENTRYPOINT’ koja funkcionira kao glavna komponenta tajnih vrata, uspostavljajući vezu sa serverom za zapovijedanje i kontrolu napadača na adresi secure.ratoscbom.com putem porta 8041. Analiza konfiguracije zlonamjernog softvera otkriva XML strukturu koja specificira parametre veze za klijenta ScreenConnect. Ova konfiguracija sadrži šifrirane vjerodajnice za autentifikaciju koje omogućavaju softveru da uspostavi neautoriziranu daljinsku sesiju bez upozorenja korisnika. Korištenje legitimnih alata za daljinsko upravljanje, poput ScreenConnecta, predstavlja zabrinjavajući trend „življenja od zemlje“, koji iskorištava odobrene softvere za zlonamjerne svrhe.
Cjelokupni lanac napada demonstrira pažljivo orkestrirani pristup: od početne phishing e-poruke, preko odredišne stranice hostovane na AWS-u (hxxps://odertaoa[.]s3.us-east-1.amazonaws.com/ssa/US/index.html), do izvršnog programa za preuzimanje s ugrađenim teretom. Ovaj višeslojni pristup pomaže napadačima da izbjegnu tradicionalne sigurnosne kontrole, istovremeno maksimizirajući stope uspješnosti zaraze.
