Istraživači sigurnosti otkrili su novu kampanju visokog rizika koja cilja korisnike Microsoft Windows putem sofisticiranog malvera za krađu informacija pod nazivom “NordDragonScan”. Ovaj malver koristi napredne tehnike za prikupljanje prijavnih podataka, podataka iz pregledača i osjetljivih dokumenata sa kompromitovanih sistema.
FortiGuard Labs je nedavno otkrio infrastrukturu za distribuciju koja je aktivno ugrožavala korisnike putem HTA skripti, koje su precizno osmišljene da tiho ubace NordDragonScan malver u okruženje žrtava. Čitav napad započinje korištenjem skraćenih URL usluga koje korisnike preusmjeravaju na platforme za dijeljenje datoteka koje naizgled djeluju legitimno. Ovo navodi korisnike na preuzimanje RAR arhiva sa ukrajinskim nazivima datoteka, čiji je cilj da ih uvjere da se radi o službenim dokumentima.
Unutar zlonamjernog paketa nalazi se pažljivo izrađena LNK prečica koja automatski pokreće ugrađeni HTA sadržaj koristeći Microsoftov uslužni program mshta.exe. Takav pristup omogućava napadačima da efikasno zaobiđu brojne sigurnosne mehanizme, s obzirom da iskorištavaju legitimne alate operativnog sistema Windows u zlonamjerne svrhe. Nakon toga, HTA skripta kopira PowerShell.exe u javni direktorij i mijenja mu naziv u “install.exe” kako bi prikrila svoje prisustvo od softvera za nadzor sigurnosti.
Nakon uspješne instalacije, NordDragonScan pokazuje značajne mogućnosti prikupljanja podataka, predstavljajući ozbiljan rizik za privatnost i sigurnost žrtava. Malver sistematski analizira host sistem, snima ekran i prikuplja kompletne profile pregledača Chrome i Firefox, uključujući sačuvane lozinke, historiju pregledanja i druge osjetljive informacije.
Ovaj malver cilja specifične vrste datoteka unutar ključnih direktorija kao što su radna površina, dokumenti i preuzimanja. Konkretno, pretražuje dokumente sa ekstenzijama .docx, .doc, .xls, .ovpn, .rdp, .txt i .pdf. Uz to, NordDragonScan obavlja mrežnu izviđačku aktivnost, skenirajući lokalnu mrežu žrtve kako bi identificirao druge potencijalno ranjive sisteme.
NordDragonScan uspostavlja trajnost na zaraženim sistemima tako što kreira zapise u registru, osiguravajući da malver nastavi sa radom i nakon ponovnog pokretanja sistema. Komunikacija sa komandno-kontrolnim serverom “kpuszkiev.com” odvija se putem prilagođenih HTTP zaglavlja i šifrovanih TLS veza radi eksfiltracije prikupljenih podataka. Infrastruktura komandno-kontrolnog servera služi dvostrukoj svrsi: kao mjesto za prikupljanje podataka i kao server za praćenje aktivnosti žrtava, omogućavajući napadačima da potvrde da su žrtve online i da po potrebi zatraže dodatne podatke. Ovaj sofisticirani pristup omogućava dugoročno praćenje i izdvajanje podataka sa kompromitovanih sistema.
Osim ugrožavanja pojedinačnih sistema, NordDragonScan predstavlja šire rizike za mrežnu sigurnost zbog svojih mogućnosti skeniranja mreže. Malver analizira mrežne adaptere, izračunava CIDR opsege i provodi lagane probe kroz lokalnu mrežnu infrastrukturu. Ova funkcionalnost omogućava napadačima da identifikuju i potencijalno ugroze dodatne sisteme unutar istog mrežnog okruženja.
Sigurnosni stručnjaci preporučuju izuzetnu opreznost prilikom rukovanja LNK prečicama i komprimovanim arhivama iz nepovjerljivih izvora. Organizacije bi trebale implementirati sveobuhvatne mjere sigurnosti elektroničke pošte, održavati ažuriran antivirusni softver i educirati korisnike o taktikama socijalnog inženjeringa koje se koriste u ovim kampanjama. Sofisticirana priroda NordDragonScana ukazuje na evoluirajući opseg prijetnji s kojima se suočavaju korisnici Windowsa. Njegova sposobnost da djeluje prikriveno, istovremeno sustavno prikupljajući osjetljive podatke, čini ga posebno opasnim kako za individualne korisnike, tako i za mrežne organizacije. Redovna obuka o sigurnosnoj svjesnosti i robusna zaštita krajnjih tačaka ostaju ključne odbrane od ovakvih naprednih i upornih prijetnji.
