More

    Redline i Vidar Stealers zloupotrebljavaju EV certifikate, implementiraju Ransomware

    Nedavna istraga Trend Micro-a pokazuje da su grupe hakera koje upravljaju RedLineom i Vidarom počele koristiti iste metode za isporuku ransomware-a kao i za distribuciju kradljivaca informacija. 

    U jednom takvom specifičnom slučaju, žrtve su prvobitno dobile malware koji je ukrao informacije, a potpisan je certifikatima za potpisivanje koda proširene validacije (EV). Međutim, nakon nekog vremena, počeli su dobijati ransomware na isti način.

    Uronimo u detalje

    Između jula i avgusta pronađeno je više od 30 uzoraka potpisanih certifikatima EV kodova. Ovi uzorci su povezani sa vrstom malware-a za krađu informacija pod nazivom TrojanSpy.Win32.VIDAR.SMA. 

    • Svaki od ovih uzoraka izgledao je drugačije od ostalih, što je otežavalo otkrivanje.
    • Kada su u pitanju RedLine i Vidar, istraživači sumnjaju da osoba koja je potpisala ove EV certifikate vjerovatno posjeduje fizički sigurnosni token ili ima pristup računaru s kojim je sigurnosni token povezan.
    • Žrtva je najprije primila info-stealer iz više kampanja počevši oko 10. jula ove godine. Nakon toga, 9. avgusta, pogođeni su napadom ransomware-a. 
    • Ransomware je na kraju instaliran nakon što su prevareni da preuzmu i otvore lažni prilog za žalbu na TripAdvisoru.

    Korišćeni TTP-ovi 

    RedLine i Vidar operateri koriste dobro poznate taktike da prevare žrtve da pokrenu maliciozne datoteke:

    • Izrađuju spear-phishing poruke za krađu identiteta sa uvjerljivim jezikom koji poziva primaoce da preduzmu hitnu akciju, često se vrte oko zdravstvenih i hotelskih pitanja.
    • Koriste dvostruke ekstenzije datoteka da obmanu korisnike. Na primjer, one čine da datoteke izgledaju kao da su PDF ili JPEG, dok su u stvarnosti EXE datoteke koje pokreću infekciju kada se otvore.
    • Pored navedenog, Redline i Vidar postavljaju LNK datoteke koje sadrže uputstva za izvršavanje maliciozne datoteke, izbjegavajući otkrivanje.

    Zaključak

    Ključno je konfigurisati i ažurirati odbrambene sisteme koji blokiraju prijetnje prije nego što dođu do korisnika. Stručnjaci savjetuju organizacijama da usvoje proaktivan pristup u sprječavanju napada u ranoj fazi ciklusa prijetnji. Osim toga, korisnici moraju izbjegavati preuzimanje datoteka iz nepouzdanih izvora i trebaju imati višeslojne sigurnosne sisteme za svoje uređaje i mreže.

    Izvor: Cyware Alerts – Hacker News

    Recent Articles

    spot_img

    Related Stories