Popularnost brazilskog PIX sistema instant plaćanja učinila ga je unosnom metom za hakere koji žele ostvariti nezakonitu zaradu koristeći novi malver nazvan GoPIX.
Kaspersky, koji prati aktivnu kampanju od decembra 2022. godine, rekao je da se napadi izvode korištenjem malicioznih oglasa koji se prikazuju kada potencijalne žrtve pretražuju “WhatsApp web” na pretraživačima.
“Sajber kriminalci koriste zlonamjerno oglašavanje: njihovi linkovi se postavljaju u oglasni dio rezultata pretrage, tako da ih korisnik vidi prve”, rekao je ruski dobavljač sajber sigurnosti. “Ako kliknu na takvu vezu, slijedi preusmjeravanje, a korisnik završava na odredišnoj stranici malvera.”
Kao što su nedavno primijetile druge malvertising kampanje, korisnici koji kliknu na oglas bivaju preusmjereni putem usluge maskiranja koja je namijenjena filtriranju sandboxova, botova i drugih koji se ne smatraju stvarnim žrtvama.
Ovo se postiže korištenjem legitimnog rješenja za sprječavanje prijevara poznatog kao IPQualityScore kako bi se utvrdilo da li je posjetitelj stranice čovjek ili bot. Korisnicima koji prođu provjeru prikazuje se lažna stranica za preuzimanje WhatsAppa kako bi ih prevarili da preuzmu zlonamjerni instalater.
U zanimljivom obratu, malver se može preuzeti sa dva različita URL-a u zavisnosti od toga da li je port 27275 otvoren na uređaju korisnika.
„Ovaj port koristi softver za sigurno bankarstvo Avast“, objasnio je Kaspersky. “Ako se otkrije ovaj softver, preuzima se ZIP datoteka koja sadrži LNK datoteku u koju je ugrađena zamagljena PowerShell skripta koja preuzima sljedeću fazu.”
Ako se port zatvori, direktno se preuzima NSIS instalacioni paket. Ovo ukazuje da je postavljen dodatni guardrail eksplicitno da zaobiđe sigurnosni softver i isporuči malver.
Glavna svrha instalatera je da preuzme i pokrene GoPIX malver koristeći tehniku koja se zove process hollowing pokretanjem svchost.exe Windows sistemskog procesa u suspendovanom stanju i ubrizgavanjem payloada u njega.
GoPIX funkcioniše kao malver za krađu clipboarda koji otima PIX zahteve za plaćanje i zamenjuje ih PIX nizom koji kontroliše napadač, a koji se preuzima sa servera za komandu i kontrolu (C2).
“Malver također podržava zamjenu adresa Bitcoin i Ethereum novčanika”, rekao je Kaspersky. “Međutim, oni su tvrdo kodirani u malveru i ne preuzimaju se sa C2. GoPIX također može primati C2 komande, ali one se odnose samo na uklanjanje malvera sa mašine.”
Ovo nije jedina kampanja koja cilja korisnike koji pretražuju aplikacije za razmjenu poruka kao što su WhatsApp i Telegram na pretraživačima.
U novom nizu napada koncentrisanih u regiji Hong Konga, otkriveno je da lažni oglasi u rezultatima Google pretraživanja preusmjeravaju korisnike na lažne stranice koje podstiču korisnike da skeniraju QR kod kako bi povezali svoje uređaje.
“Problem je u tome što je QR kod koji skenirate sa zlonamjerne stranice koja nema nikakve veze s WhatsApp-om”, rekao je Jérôme Segura, direktor obavještajnih podataka o prijetnjama u Malwarebytes-u, u izvještaju od utorka.
Kao rezultat toga, uređaj hakera se povezuje sa WhatsApp nalozima žrtve, dajući zlonamjernoj strani potpuni pristup njihovoj istoriji razgovora i sačuvanim kontaktima.
Malwarebytes je također otkrio sličnu kampanju koja koristi Telegram kao mamac da privuče korisnike da preuzmu krivotvoreni instalater sa stranice Google dokumenata koja sadrži zlonamjerni softver za ubrizgavanje .
Razvoj događaja dolazi kada je Proofpoint otkrio da nova verzija brazilskog bankarskog trojanca nazvanog Grandoreiro cilja žrtve u Meksiku i Španiji, opisujući aktivnost kao “neobičnu po učestalosti i obimu”.
Kompanija za sigurnost preduzeća pripisala je kampanju hakeru kojeg prati kao TA2725, koji je poznat po tome što koristi brazilski bankarski malver i phishing kako bi izdvojio različite entitete u Brazilu i Meksiku.
Ciljanje Španije ukazuje na novi trend u kojem malver fokusiran na Latinsku Ameriku sve više cilja na Evropu. Ranije ovog maja, SentinelOne je otkrio dugotrajnu kampanju koju je preduzeo brazilski haker ciljajući preko 30 portugalskih banaka sa malverom za krađu.
U međuvremenu, kradljivci informacija cvjetaju u ekonomiji sajber kriminala, a autori softvera za kriminal preplavljuju podzemno tržište ponudom malvera kao usluge (MaaS) koja sajber kriminalcima pruža pogodno i isplativo sredstvo za izvođenje napada.
Štaviše, takvi alati smanjuju ulaznu barijeru za potencijalne hakere kojima možda nedostaje tehnička stručnost.
Posljednji koji se pridružio ekosistemu kradljivaca je Lumar, kojeg je prvi put reklamirao korisnik po imenu Collector na forumima o sajber kriminalu u julu 2023. godine, reklamirajući svoje mogućnosti za snimanje Telegram sesija, prikupljanje kolačića i lozinki pretraživača, preuzimanje datoteka i izdvajanje podataka iz kripto novčanika.
“Uprkos tome što ima sve ove funkcionalnosti, malver je relativno mali u smislu veličine (samo 50 KB), što je dijelom zbog činjenice da je napisan u C”, primijetio je Kaspersky.
“Pojavni malver se često oglašava na dark webu među manje vještim kriminalcima i distribuiše kao MaaS, omogućavajući njegovim autorima da se brzo obogate iznova ugrožavajući legitimne organizacije.”
Izvor: The Hacker News