Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Εκστρατεία κακόβουλου λογισμικού Silver Fox ValleyRAT

Εκστρατεία κακόβουλου λογισμικού Silver Fox ValleyRAT

Μέχρι το Mezo το Κακόβουλο λογισμικό, Εργαλεία απομακρυσμένης διαχείρισης
Μετάφραση σε:

Ένας απειλητικός παράγοντας που λειτουργεί με το όνομα Silver Fox ξεκίνησε μια περίτεχνη επιχείρηση ψευδούς σημαίας, σχεδιασμένη να συγκαλύψει τη δραστηριότητά του ως δραστηριότητα ρωσικής ομάδας. Η εκστρατεία επικεντρώνεται σε χρήστες που μιλούν κινέζικα, συμπεριλαμβανομένων υπαλλήλων δυτικών οργανισμών με παρουσία στην Κίνα, και βασίζεται σε μεγάλο βαθμό στην χειραγώγηση των μηχανών αναζήτησης και σε πλαστά προγράμματα εγκατάστασης του Microsoft Teams για να παραδώσει ένα γνωστό trojan απομακρυσμένης πρόσβασης.

Μεταμφιεσμένος ως Ρώσος ηθοποιός

Η πρόσφατη δραστηριότητα της Silver Fox περιστρέφεται γύρω από μια στρατηγική προσπάθεια παραπλάνησης των αναλυτών μιμούμενη τις ρωσικές ομάδες απειλών. Για να ενισχύσουν αυτήν την ψευδαίσθηση, οι επιτιθέμενοι ενσωματώνουν κυριλλικά στοιχεία σε τροποποιημένα στοιχεία ValleyRAT και μάλιστα συσκευάζουν κακόβουλα αρχεία με ρωσικού τύπου συμβάσεις ονοματοδοσίας. Αυτή η σκόπιμη παραπλάνηση περιπλέκει την απόδοση, ενώ παράλληλα επιτρέπει στην ομάδα να επιδιώκει οικονομικά και γεωπολιτικά κίνητρα.

SEO Poisoning και Teams-Themed Lures

Από τον Νοέμβριο του 2025, η Silver Fox διεξάγει μια καμπάνια δηλητηρίασης βελτιστοποίησης μηχανών αναζήτησης (SEO), προσαρμοσμένη για να προσελκύσει θύματα που αναζητούν το Microsoft Teams. Σε αντίθεση με προηγούμενες επιχειρήσεις που έκαναν κατάχρηση εργαλείων όπως το Chrome, το Telegram, το WPS Office και το DeepSeek, αυτό το κύμα επικεντρώνεται αποκλειστικά στο Teams.

Τα παραβιασμένα αποτελέσματα αναζήτησης κατευθύνουν τους χρήστες σε έναν δόλιο ιστότοπο που παρουσιάζεται ως νόμιμη σελίδα λήψης του Teams. Αντί για γνήσιο λογισμικό, τα θύματα λαμβάνουν ένα αρχείο ZIP με το όνομα «MSTчаmsSetup.zip» που φιλοξενείται στο Alibaba Cloud. Οι κυριλλικοί χαρακτήρες στο όνομα αρχείου ενισχύουν την αφήγηση ψευδούς σημαίας.

Εγκαταστάτης με Trojan και Αόρατη Ανάπτυξη

Μέσα στο αρχείο ZIP βρίσκεται το Setup.exe, ένα τροποποιημένο πρόγραμμα εγκατάστασης του Teams που έχει σχεδιαστεί για να ξεκινά μια παραβίαση πολλαπλών σταδίων. Κατά την εκτέλεση, διεξάγει ελέγχους περιβάλλοντος, σαρώνει για δυαδικά αρχεία που σχετίζονται με ένα συγκεκριμένο εργαλείο ασφαλείας και παραβιάζει τις ρυθμίσεις του Microsoft Defender προσθέτοντας κανόνες αποκλεισμού. Επίσης, εγκαθιστά ένα τροποποιημένο πρόγραμμα εγκατάστασης της Microsoft - 'Verifier.exe', στον κατάλογο AppData\Local του χρήστη και το εκκινεί για να διατηρήσει τη ροή της μόλυνσης.

Το κακόβουλο λογισμικό συνεχίζει δημιουργώντας διάφορα βοηθητικά αρχεία στο AppData\Local και στο AppData\Roaming. Στη συνέχεια, φορτώνει δεδομένα διαμόρφωσης από αυτά τα αρχεία και εισάγει ένα κακόβουλο αρχείο DLL στο rundll32.exe, ένα αξιόπιστο στοιχείο των Windows, επιτρέποντας στο κακόβουλο λογισμικό να συνδυάζεται άψογα με νόμιμες διεργασίες.

Ενεργοποίηση του ValleyRAT (Winos 4.0)

Το τελικό στάδιο έχει ως αποτέλεσμα την ανάπτυξη του ValleyRAT, ενός παράγωγου του Gh0st RAT. Μόλις ενεργοποιηθεί, επιτρέπει την απομακρυσμένη εκτέλεση εντολών, τη συνεχή επιτήρηση, την κλοπή δεδομένων και τον πλήρη έλεγχο του συστήματος. Παρόλο που οι παραλλαγές του Gh0st RAT αποδίδονται συνήθως σε κινεζικές ομάδες κυβερνοεγκληματιών, η συμπερίληψη ρωσικών στοιχείων από την Silver Fox επιχειρεί να ανακατευθύνει την ευθύνη.

Τελικοί Στόχοι και Αντίκτυπος

Οι επιχειρήσεις της Silver Fox εξυπηρετούν τόσο οικονομικούς σκοπούς όσο και σκοπούς συλλογής πληροφοριών. Η ομάδα επιδιώκει κέρδος μέσω απάτης, απάτης και κλοπής, ενώ παράλληλα συλλέγει ευαίσθητες πληροφορίες που μπορούν να παράσχουν γεωπολιτική μόχλευση. Τα θύματα αντιμετωπίζουν άμεσες συνέπειες:

  • Κλοπή δεδομένων και έκθεση σε εμπιστευτικές πληροφορίες.
  • Οικονομικές απώλειες από απάτη ή μη εξουσιοδοτημένη δραστηριότητα.
  • Μακροπρόθεσμος κίνδυνος εσωτερικών συστημάτων και δικτύων.

Γιατί έχει σημασία αυτή η ψευδής σημαία

Μιμούμενη μια ξένη ομάδα απειλών, η Silver Fox διατηρεί την εύλογη δυνατότητα άρνησης και λειτουργεί χωρίς τον έλεγχο που συνήθως απευθύνεται σε κρατικά χρηματοδοτούμενες οντότητες. Αυτή η εξελιγμένη στρατηγική αποφυγής, σε συνδυασμό με μια εξελισσόμενη αλυσίδα μόλυνσης, υπογραμμίζει την ανάγκη για αυξημένη επαγρύπνηση, ενισχυμένες άμυνες τερματικών σημείων και συνεχή παρακολούθηση, ειδικά για οργανισμούς που δραστηριοποιούνται σε περιοχές που συχνά στοχεύονται από σύνθετες κυβερνοαπειλές.

Τάσεις

Trustedspotsearch.com

Απατεώνες Ιστότοποι, Adware, Πιθανώς ανεπιθύμητα προγράμματα
Η προστασία του συστήματός σας από παρεμβατικό και αναξιόπιστο λογισμικό είναι απαραίτητη για τη διατήρηση μιας ασφαλούς και αξιόπιστης εμπειρίας περιήγησης. Τα PUP (Δυνητικά Ανεπιθύμητα...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
30,648
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...