Häkkerid kasutavad pilte pahavara varjamiseks, VIP Keyloggeri ja 0bj3ctivity Stealeri juurutamiseks

Vastavalt HP Wolf Security 2024. aasta kolmanda kvartali Threat Insights aruandele viivad küberkurjategijad oma varjamistaktika järgmisele tasemele, manustades pildifailidesse pahatahtlikku koodi, et edastada pahavara, nagu VIP Keylogger ja 0bj3ctivity Stealer. Need keerukad kampaaniad kasutavad ära usaldusväärseid platvorme, nagu Archiveorg. pahavara levitamiseks traditsioonilistest tuvastamismeetoditest mööda minnes.

Kuidas rünnak töötab: piltides peidetud pahavara

Kampaaniad algavad andmepüügimeiliga, mille eesmärk on petta ohvreid avama pahatahtlikke manuseid . Need meilid jäljendavad usaldusväärsuse suurendamiseks sageli arveid või ostutellimusi. Pärast avamist käivitab manus vananenud Microsofti võrrandiredaktori haavatavuse ( CVE-2017-11882 ) ärakasutamise VBScript-faili allalaadimiseks.

Rünnaku ahel

1. Andmepüügimeil : ohvrid saavad petliku meili, mis sisaldab pahatahtlikke manuseid.
2. VBScripti täitmine : allalaaditud VBScript käitab PowerShelli skripti.
3. Kujutise otsimine : PowerShell laadib pildi alla saidilt Archive.org.
4. Pahatahtliku koodi ekstraheerimine : pilt sisaldab Base64-kodeeritud pahavara, mis ekstraheeritakse ja dekodeeritakse .NET-i käivitatavasse faili.
5. Kasuliku koorma kohaletoimetamine : .NET-laadur installib lõpliku pahavara kasuliku koormuse.

Esimeses kampaanias on see kasulik koormus VIP Keylogger, tööriist, mis on loodud klahvivajutuste, lõikepuhvri sisu, ekraanipiltide ja mandaatide jäädvustamiseks. Teises kampaanias on kasulikuks koormaks 0bj3ctivity Stealer, infovarastav pahavara.

Pahavarakomplektid vähendavad ründajate takistust

Kahe kampaania sarnasused näitavad, et küberkurjategijad kasutavad pahavarakomplekte. Need komplektid lihtsustavad ründeprotsessi, vähendades keeruliste nakkusahelate läbiviimiseks vajalikke tehnilisi teadmisi. See suundumus peegeldab küberkuritegevuse kasvavat kaubaks muutmist, kus eelehitatud tööriistad muudavad isegi algajatel ründajatel pahavara juurutamise lihtsamaks.

Täiendavad kasutatavad tehnikad

HP Wolf Security tuvastas ka HTML-i salakaubaveo täiendava taktikana. Selle meetodi puhul edastavad ründajad pahavara, nagu XWorm RAT, kasutades pahatahtlikesse HTML-failidesse peidetud AutoIt tilgureid. Mõned neist failidest loodi väidetavalt GenAI tööriistade abil, mis näitavad, kuidas tehisintellekti kasutatakse pahavara edastamise ja hägustamise parandamiseks.

GitHubi kampaaniad pakuvad Lumma Stealeri

Veel üks tähelepanuväärne kampaania hõlmas GitHubi hoidlate kasutamist, mis kujutasid endast videomängude pettuste ja muutmistööriistade allikaid. Need hoidlad levitasid salaja Lumma Stealeri pahavara .NET-põhiste tilgutite kaudu, rõhutades, kuidas ründajad kasutavad populaarseid platvorme pahaaimamatute kasutajate sihikule.

Miks pildipõhised rünnakud ähvardavad?

Pahavara piltidele manustamine on steganograafiana tuntud tehnika, mis peidab pahatahtliku koodi näiliselt kahjututesse failidesse. See meetod möödub paljudest viirusetõrjesüsteemidest, mis tõenäoliselt ei kontrolli pildifaile. Usaldusväärsete hostimisplatvormide, nagu Archive.org, kasutamine muudab tuvastamise veelgi keerulisemaks.

Organisatsioonide leevendamise strateegiad

Nende arenevate ohtude eest kaitsmiseks peaksid organisatsioonid rakendama järgmisi meetmeid:

1. Parandage teadaolevad haavatavused : kõrvaldage vananenud tarkvara haavatavused, nagu CVE-2017-11882.
2. Täiustatud ohutuvastuse lubamine : kasutage lahendusi, mis suudavad tuvastada steganograafiat ja kahtlast failikäitumist.
3. Koolitage töötajaid : koolitage töötajaid andmepüügimeile ära tundma ja vältima ootamatute manuste avamist.
4. Juurdepääsu piiramine usaldusväärsetele allikatele : piirake failijagamisplatvormide kasutamist heakskiidetud domeenidega.

Küberkuritegevuse kasvav kaubaks muutmine

Kuna pahavarakomplektid muutuvad kättesaadavamaks, saavad igasuguse oskustasemega ründajad kokku panna tõhusaid nakkusahelaid. AI-tööriistade integreerimine pahavara loomisesse suurendab veelgi küberjulgeolekukaitsjate väljakutset, muutes rünnakud mitmekesisemaks ja raskemini omistatavateks.

HP Wolf Security leiud rõhutavad nende arenevate ohtude ees seismise kiireloomulisust. Proaktiivsete kaitsestrateegiate kasutuselevõtuga ja tekkivate taktikate jälgimisega saavad organisatsioonid oma võrgustikke nende keerukate kampaaniate eest paremini kaitsta.