A hackerek képeket használnak rosszindulatú programok elrejtésére, VIP Keylogger és 0bj3ctivity Stealer telepítésére

A HP Wolf Security 2024. harmadik negyedévi Threat Insights jelentése szerint a kiberbűnözők a következő szintre emelik lopakodó taktikájukat azáltal, hogy rosszindulatú kódokat ágyaznak be a képfájlokba, hogy olyan rosszindulatú programokat szállíthassanak, mint a VIP Keylogger és a 0bj3ctivity Stealer. A HP Wolf Security Threat Insights jelentése szerint ezek a kifinomult kampányok olyan megbízható platformokat használnak ki, mint az Archiveorg. rosszindulatú programok terjesztése a hagyományos észlelési módszerek megkerülésével.

Hogyan működik a támadás: A képekben elrejtett rosszindulatú programok

A kampányok egy adathalász e-maillel kezdődnek, amelynek célja, hogy az áldozatokat rosszindulatú mellékletek megnyitására késztesse . Ezek az e-mailek gyakran utánoznak számlákat vagy beszerzési megrendeléseket a hitelesség növelése érdekében. Megnyitása után a melléklet a Microsoft Equation Editor elavult biztonsági résének ( CVE-2017-11882 ) kihasználását váltja ki VBScript-fájl letöltéséhez.

A támadási lánc

1. Adathalász e-mail : Az áldozatok megtévesztő e-mailt kapnak, amely rosszindulatú mellékleteket tartalmaz.
2. VBScript-végrehajtás : A letöltött VBScript egy PowerShell-szkriptet futtat.
3. Képletöltés : A PowerShell letölt egy képet az Archive.org oldalról.
4. Rosszindulatú kód kibontása : A kép Base64 kódolású rosszindulatú programot tartalmaz, amelyet a rendszer kicsomagol és dekódol egy .NET végrehajtható fájlba.
5. Rakomány kézbesítés : A .NET betöltő telepíti a kártevő végső rakományát.

Az első kampányban ez a hasznos teher a VIP Keylogger, egy olyan eszköz, amelyet billentyűleütések, vágólap-tartalom, képernyőképek és hitelesítő adatok rögzítésére terveztek. A második kampányban a hasznos teher a 0bj3ctivity Stealer, egy információlopó kártevő.

A rosszindulatú programcsomagok csökkentik a támadók akadályát

A két kampány közötti hasonlóságok arra utalnak, hogy a kiberbűnözők rosszindulatú programcsomagokat használnak fel. Ezek a készletek leegyszerűsítik a támadási folyamatot, csökkentve az összetett fertőzési láncok végrehajtásához szükséges technikai szakértelmet. Ez a tendencia a kiberbűnözés növekvő áruvá válását tükrözi, ahol az előre beépített eszközök még a kezdő támadók számára is megkönnyítik a rosszindulatú programok telepítését.

További használatban lévő technikák

A HP Wolf Security a HTML-csempészetet is kiegészítő taktikaként azonosította. Ezzel a módszerrel a támadók rosszindulatú programokat, például az XWorm RAT-ot szállítanak a rosszindulatú HTML-fájlokba rejtett AutoIt dropperek segítségével. E fájlok némelyikét állítólag GenAI eszközökkel hozták létre, bemutatva, hogyan használják a mesterséges intelligenciát a rosszindulatú programok kézbesítésének és elhomályosításának javítására.

A GitHub-kampányok szállítják a Lumma-lopót

Egy másik figyelemre méltó kampány a GitHub adattárak használatát jelentette, amelyek videojáték-csalás és módosító eszközök forrásaként jelentek meg. Ezek a tárolók titokban terjesztették a Lumma Stealer rosszindulatú programokat .NET-alapú droppereken keresztül, rávilágítva arra, hogy a támadók hogyan használják ki a népszerű platformokat a gyanútlan felhasználók megcélzására.

Miért fenyegetőek a képalapú támadások?

A rosszindulatú programok képekbe ágyazása a szteganográfia néven ismert technika, amely ártalmatlannak tűnő fájlokba rejti a rosszindulatú kódokat. Ez a módszer sok vírusirtó rendszert megkerül, amelyek kevésbé valószínű, hogy átvizsgálják a képfájlokat. A megbízható hosting platformok, például az Archive.org használata tovább bonyolítja az észlelési erőfeszítéseket.

Enyhítési stratégiák szervezetek számára

A fejlődő fenyegetésekkel szembeni védekezés érdekében a szervezeteknek a következő intézkedéseket kell végrehajtaniuk:

1. Ismert biztonsági rések javítása : Javítsa ki az elavult szoftveres sebezhetőségeket, például a CVE-2017-11882-t.
2. Speciális fenyegetésészlelés engedélyezése : Használjon olyan megoldásokat, amelyek képesek észlelni a szteganográfiát és a gyanús fájlok viselkedését.
3. Alkalmazottak oktatása : Tanítsa meg a személyzetet az adathalász e-mailek felismerésére és a váratlan mellékletek megnyitásának elkerülésére.
4. Hozzáférés korlátozása a megbízható forrásokhoz : Korlátozza a fájlmegosztó platformok használatát jóváhagyott tartományokra.

A kiberbűnözés növekvő árucikke

Ahogy a rosszindulatú programkészletek egyre hozzáférhetőbbé válnak, a különböző szintű támadók hatékony fertőzési láncokat állíthatnak össze. Az AI-eszközök integrálása a rosszindulatú programok létrehozásába tovább erősíti a kiberbiztonság védelmezői előtt álló kihívást, változatosabbá és nehezebben tulajdoníthatóvá téve a támadásokat.

A HP Wolf Security megállapításai rávilágítanak arra, hogy sürgősen előrébb kell maradni ezekkel a fejlődő fenyegetésekkel szemben. Proaktív védelmi stratégiák elfogadásával és a kialakuló taktikák figyelemmel kísérésével a szervezetek jobban megvédhetik hálózataikat ezekkel a kifinomult kampányokkal szemben.