Site icon Kiber.ba

Nova rasprostranjena phishing kampanja koja napada korisnike s višestrukim zlonamjernim softverom

Nova rasprostranjena phishing kampanja koja napada korisnike s višestrukim zlonamjernim softverom-Kiber.ba

Nova rasprostranjena phishing kampanja koja napada korisnike s višestrukim zlonamjernim softverom-Kiber.ba

Kampanje phishing-a su se intenzivirale u maju 2024., pri čemu je Poljska snosila najveći teret napada, čineći 80% od preko 26.000 zaštićenih korisnika, dok su Italija i Rumunija također iskusile značajno ciljanje. 

Hakeri pokrenuli su devet različitih phishing kampanja tokom mjeseca, prvenstveno fokusirajući se na Poljsku sa sedam namjenskih napada. 

Nedavni cyber napadi prešli su s korištenja AceCryptora na ModiLoader kao primarni mehanizam isporuke zlonamjernog softvera.

Devet analiziranih kampanja je isključivo koristilo ModiLoader za infiltriranje u sisteme i implementaciju različitih korisnih podataka, uključujući Formbook, Agent Tesla i Rescoms RAT. 

 Hitovi ModiLoader phishing kampanja u Poljskoj tokom maja 2024

Ovi zlonamjerni alati dizajnirani su za krađu osjetljivih informacija i uspostavljanje daljinske kontrole nad kompromitovanim mašinama, što predstavlja značajan rizik za pogođene organizacije. 

Napadači su pokrenuli phishing kampanje koje su ciljale kompanije s e-porukama koje sadrže zlonamjerne priloge.

E-mailovi su koristili dosljednu taktiku društvenog inženjeringa , predstavljajući se kao legitimni poslovni upiti i tražeći ponude cijena.

Poruke su se kretale od sažetih zahtjeva s brojevima narudžbi do detaljnijih prijedloga sa detaljnim specifikacijama proizvoda. 

Bez obzira na format, sve poruke e-pošte imale su za cilj da navedu primaoce da otvore priložene datoteke, za koje se kasnije pokazalo da sadrže zlonamjerni softver ModiLoader. 

Primjer phishing e-pošte koja sadrži ModiLoader u prilogu

Napadači u kampanjama za krađu identiteta u drugoj polovini 2023. koristili su društveni inženjering lažno predstavljajući legitimne kompanije i njihovo osoblje kako bi poboljšali uspjeh kampanje.

Zlonamjerni prilozi, prerušeni u poslovne dokumente kao što su RFQ ili narudžbe, uključeni su u ove e-poruke. 

Prilozi, formatirani kao ISO ili arhivske datoteke, podsticali su žrtve da ih otvore putem sadržaja e-pošte, zaobilazeći tipične crvene zastavice zbog uvjerljivog lažnog predstavljanja. 

Kampanje su koristile dvije primarne metode za isporuku izvršne datoteke ModiLoader.

U jednom, ISO fajlovi koji sadrže identično imenovane izvršne datoteke su poslani kao prilozi, direktno pokretajući ModiLoader nakon izvršenja. 

Alternativno, distribuirane su RAR arhive prerušene u batch skripte, sa ovim skriptama zamaskivanim i sadržavajući ModiLoader kodiran base64 maskiranim kao listu opoziva certifikata.

Nakon izvršenja, skripta je dekodirala i pokrenula ugrađeni zlonamjerni korisni teret. 

datoteka s ekstenzijom .cmd koja sadrži jako zamućenu skupnu skriptu koja dekodira binarno ModiLoader kodiranu base64

ModiLoader, program za preuzimanje baziran na Delphiju, funkcionira kao zlonamjerni softver u prvoj fazi, dohvaćajući naknadne korisne podatke sa kompromitovanih servera ili servisa za pohranu u oblaku kao što je OneDrive. 

Ovi sadržaji, uključujući Agent Tesla, Rescoms i Formbook, su zlonamjerni softver koji krade informacije i može eksfiltrirati osjetljive podatke.

Napadači koriste ove ukradene vjerodajnice kako bi proširili svoju površinu napada i potencijalno pokrenuli dalje zlonamjerne kampanje. 

 Lanac kompromisa ModiLoader phishing kampanja u Poljskoj tokom maja 2024

Uočena su dva različita primjera metoda.

Prvi typosquatting, koji odražava domen njemačke kompanije za eksfiltraciju podataka baziranu na SMTP-u, što je u skladu s prethodnim Rescoms kampanjama koje su koristile typosquatted domene za phishing . 

U poređenju sa prvom kampanjom, druga je koristila web server rumunske kuće za goste koji je izgledao legitimno za krađu podataka. 

Istražitelji u ESET- u sumnjaju da je server kompromitovan u prethodnoj kampanji i prenamijenjen za zlonamjerne aktivnosti, što ukazuje na prelazak sa lažiranja domena na kompromitovanu eksploataciju infrastrukture. 

Izvor:CybersecurityNews

Exit mobile version