Hakkerit piilottavat haittaohjelmia kuvien avulla, ottavat käyttöön VIP Keyloggerin ja 0bj3ctivity Stealerin
HP Wolf Securityn Q3 2024 Threat Insights -raportin mukaan kyberrikolliset nostavat salailutaktiikkansa uudelle tasolle upottamalla kuvatiedostoihin haittaohjelmia, kuten VIP Keyloggerin ja 0bj3ctivity Stealerin. levittää haittaohjelmia ohittaen perinteiset tunnistusmenetelmät.
Sisällysluettelo
Kuinka hyökkäys toimii: Kuviin piilotettu haittaohjelma
Kampanjat alkavat tietojenkalasteluviestillä, joka on suunniteltu huijaamaan uhreja avaamaan haitallisia liitteitä . Nämä sähköpostit jäljittelevät usein laskuja tai ostotilauksia uskottavuuden lisäämiseksi. Kun liite on avattu, se laukaisee vanhentuneen Microsoft Equation Editor -haavoittuvuuden ( CVE-2017-11882 ) hyväksikäytön VBScript-tiedoston lataamiseksi.
Hyökkäysketju
- Tietojenkalasteluviestit : Uhrit saavat harhaanjohtavan sähköpostin, joka sisältää haitallisia liitteitä.
- VBScript-suoritus : Ladattu VBScript suorittaa PowerShell-komentosarjan.
- Kuvien haku : PowerShell lataa kuvan osoitteesta Archive.org.
- Haitallisen koodin purkaminen : Kuva sisältää Base64-koodattua haittaohjelmaa, joka puretaan ja puretaan .NET-suoritettavaksi tiedostoksi.
- Hyötykuorman toimitus : .NET-lataaja asentaa viimeisen haittaohjelman hyötykuorman.
Ensimmäisessä kampanjassa tämä hyötykuorma on VIP Keylogger, työkalu, joka on suunniteltu tallentamaan näppäinpainalluksia, leikepöydän sisältöä, kuvakaappauksia ja tunnistetietoja. Toisessa kampanjassa hyötykuorma on 0bj3ctivity Stealer, tietoa varastava haittaohjelma.
Haittaohjelmasarjat alentavat hyökkääjien esteitä
Kahden kampanjan väliset yhtäläisyydet osoittavat, että verkkorikolliset hyödyntävät haittaohjelmasarjoja. Nämä sarjat virtaviivaistavat hyökkäysprosessia vähentäen monimutkaisten infektioketjujen suorittamiseen vaadittavaa teknistä asiantuntemusta. Tämä suuntaus heijastaa tietoverkkorikollisuuden lisääntyvää kaupallistamista, jossa valmiiksi rakennetut työkalut helpottavat aloittelevien hyökkääjienkin ottaa käyttöön haittaohjelmia.
Käytössä olevat lisätekniikat
HP Wolf Security tunnisti myös HTML-salakuljetuksen täydentävänä taktiikkana. Tässä menetelmässä hyökkääjät toimittavat haittaohjelmia, kuten XWorm RAT:ia , käyttämällä haitallisiin HTML-tiedostoihin piilotettuja AutoIt-pisaroita. Osa näistä tiedostoista on luotu GenAI-työkaluilla, ja ne osoittavat, kuinka tekoälyä käytetään parantamaan haittaohjelmien toimittamista ja hämärtämistä.
GitHub-kampanjat toimittavat Lumma Stealerin
Toinen huomionarvoinen kampanja koski GitHub-tietovarastojen käyttöä, jotka esiintyivät videopelihuijausten ja muokkaustyökalujen lähteinä. Nämä arkistot jakelivat salaa Lumma Stealer -haittaohjelmia .NET-pohjaisten droppereiden kautta, mikä korosti, kuinka hyökkääjät hyödyntävät suosittuja alustoja hyökätäkseen pahaa aavistamattomiin käyttäjiin.
Miksi kuvapohjaiset hyökkäykset ovat uhkaavia
Haittaohjelmien upottaminen kuviin on steganografiaksi kutsuttu tekniikka, joka piilottaa haitallisen koodin näennäisesti vaarattomiin tiedostoihin. Tämä menetelmä ohittaa monet virustentorjuntajärjestelmät, jotka eivät todennäköisesti tutki kuvatiedostoja. Luotettujen isännöintialustojen, kuten Archive.org, käyttö vaikeuttaa edelleen havaitsemista.
Organisaatioiden lieventämisstrategiat
Suojautuakseen näitä kehittyviä uhkia vastaan organisaatioiden tulee toteuttaa seuraavat toimenpiteet:
- Korjaa tunnetut haavoittuvuudet : Korjaa vanhentuneet ohjelmiston haavoittuvuudet, kuten CVE-2017-11882.
- Ota käyttöön Advanced Threat Detection : Käytä ratkaisuja, jotka pystyvät havaitsemaan steganografian ja epäilyttävän tiedostokäyttäytymisen.
- Kouluta työntekijöitä : Kouluta henkilökuntaa tunnistamaan tietojenkalasteluviestit ja välttämään odottamattomien liitteiden avaamista.
- Rajoita pääsyä luotettaviin lähteisiin : Rajoita tiedostonjakoalustojen käyttö hyväksyttyihin verkkotunnuksiin.
Kyberrikollisuuden kasvava kaupallinen muoto
Kun haittaohjelmasarjoja on helpompi käyttää, kaiken tasoiset hyökkääjät voivat koota tehokkaita tartuntaketjuja. Tekoälytyökalujen integrointi haittaohjelmien luomiseen lisää kyberturvallisuuden puolustajien haastetta entisestään, mikä tekee hyökkäyksistä monipuolisempia ja vaikeammin määritettäviä.
HP Wolf Securityn havainnot korostavat, että on tärkeää pysyä näiden kehittyvien uhkien edellä. Ottamalla käyttöön ennakoivia puolustusstrategioita ja seuraamalla uusia taktiikoita organisaatiot voivat paremmin suojata verkostojaan näiltä kehittyneiltä kampanjoilta.