Redline i Vidar Stealers zloupotrebljavaju EV certifikate, implementiraju Ransomware

Adam

1 year ago

Redline i Vidar Stealers zloupotrebljavaju EV certifikate, implementiraju Ransomware - Kiber.ba

Nedavna istraga Trend Micro-a pokazuje da su grupe hakera koje upravljaju RedLineom i Vidarom počele koristiti iste metode za isporuku ransomware-a kao i za distribuciju kradljivaca informacija.

U jednom takvom specifičnom slučaju, žrtve su prvobitno dobile malware koji je ukrao informacije, a potpisan je certifikatima za potpisivanje koda proširene validacije (EV). Međutim, nakon nekog vremena, počeli su dobijati ransomware na isti način.

Uronimo u detalje

Između jula i avgusta pronađeno je više od 30 uzoraka potpisanih certifikatima EV kodova. Ovi uzorci su povezani sa vrstom malware-a za krađu informacija pod nazivom TrojanSpy.Win32.VIDAR.SMA.

Svaki od ovih uzoraka izgledao je drugačije od ostalih, što je otežavalo otkrivanje.
Kada su u pitanju RedLine i Vidar, istraživači sumnjaju da osoba koja je potpisala ove EV certifikate vjerovatno posjeduje fizički sigurnosni token ili ima pristup računaru s kojim je sigurnosni token povezan.
Žrtva je najprije primila info-stealer iz više kampanja počevši oko 10. jula ove godine. Nakon toga, 9. avgusta, pogođeni su napadom ransomware-a.
Ransomware je na kraju instaliran nakon što su prevareni da preuzmu i otvore lažni prilog za žalbu na TripAdvisoru.

Korišćeni TTP-ovi

RedLine i Vidar operateri koriste dobro poznate taktike da prevare žrtve da pokrenu maliciozne datoteke:

Izrađuju spear-phishing poruke za krađu identiteta sa uvjerljivim jezikom koji poziva primaoce da preduzmu hitnu akciju, često se vrte oko zdravstvenih i hotelskih pitanja.
Koriste dvostruke ekstenzije datoteka da obmanu korisnike. Na primjer, one čine da datoteke izgledaju kao da su PDF ili JPEG, dok su u stvarnosti EXE datoteke koje pokreću infekciju kada se otvore.
Pored navedenog, Redline i Vidar postavljaju LNK datoteke koje sadrže uputstva za izvršavanje maliciozne datoteke, izbjegavajući otkrivanje.

Zaključak

Ključno je konfigurisati i ažurirati odbrambene sisteme koji blokiraju prijetnje prije nego što dođu do korisnika. Stručnjaci savjetuju organizacijama da usvoje proaktivan pristup u sprječavanju napada u ranoj fazi ciklusa prijetnji. Osim toga, korisnici moraju izbjegavati preuzimanje datoteka iz nepouzdanih izvora i trebaju imati višeslojne sigurnosne sisteme za svoje uređaje i mreže.

Izvor: Cyware Alerts – Hacker News