Hakerzy wykorzystują obrazy do ukrywania złośliwego oprogramowania, wdrażają VIP Keylogger i 0bj3ctivity Stealer

Zgodnie z raportem Threat Insights Report firmy HP Wolf Security za III kw. 2024 r. cyberprzestępcy przenoszą swoje taktyki ukryte na wyższy poziom, osadzając złośliwy kod w plikach obrazów w celu dostarczania złośliwego oprogramowania, takiego jak VIP Keylogger i 0bj3ctivity Stealer. Te zaawansowane kampanie wykorzystują zaufane platformy, takie jak Archive.org, do dystrybucji złośliwego oprogramowania, omijając jednocześnie tradycyjne metody wykrywania.

Jak działa atak: złośliwe oprogramowanie ukryte w obrazach

Kampanie rozpoczynają się od wiadomości e-mail phishingowej, której celem jest nakłonienie ofiar do otwarcia złośliwych załączników . Te wiadomości e-mail często imitują faktury lub zamówienia zakupu, aby zbudować wiarygodność. Po otwarciu załącznik uruchamia exploit dla przestarzałej luki w zabezpieczeniach programu Microsoft Equation Editor ( CVE-2017-11882 ) w celu pobrania pliku VBScript.

Łańcuch ataku

1. E-mail phishingowy : Ofiary otrzymują oszukańczy e-mail zawierający złośliwe załączniki.
2. Wykonywanie skryptu VBScript : pobrany skrypt VBScript uruchamia skrypt programu PowerShell.
3. Pobieranie obrazu : PowerShell pobiera obraz z Archive.org.
4. Ekstrakcja złośliwego kodu : Obraz zawiera złośliwe oprogramowanie zakodowane w formacie Base64, które zostało wyodrębnione i zdekodowane do pliku wykonywalnego .NET.
5. Dostarczanie ładunku : Program ładujący .NET instaluje ostateczny ładunek złośliwego oprogramowania.

W pierwszej kampanii ten ładunek to VIP Keylogger, narzędzie zaprojektowane do przechwytywania uderzeń klawiszy, zawartości schowka, zrzutów ekranu i poświadczeń. W drugiej kampanii ładunek to 0bj3ctivity Stealer, złośliwe oprogramowanie kradnące informacje.

Zestawy oprogramowania złośliwego obniżają barierę dla atakujących

Podobieństwa między tymi dwiema kampaniami wskazują, że cyberprzestępcy wykorzystują zestawy oprogramowania malware. Zestawy te usprawniają proces ataku, zmniejszając wymaganą wiedzę techniczną do wykonania złożonych łańcuchów infekcji. Ten trend odzwierciedla rosnącą komodyfikację cyberprzestępczości, w której gotowe narzędzia ułatwiają nawet początkującym atakującym wdrażanie oprogramowania malware.

Dodatkowe techniki w użyciu

HP Wolf Security zidentyfikowało również przemyt HTML jako uzupełniającą taktykę. W tej metodzie atakujący dostarczają złośliwe oprogramowanie, takie jak XWorm RAT, używając dropperów AutoIt ukrytych w złośliwych plikach HTML. Niektóre z tych plików zostały podobno wygenerowane przy użyciu narzędzi GenAI, co pokazuje, w jaki sposób sztuczna inteligencja jest wykorzystywana do usprawniania dostarczania i zaciemniania złośliwego oprogramowania.

Kampanie GitHub dostarczają złodzieja Lumma

Inna godna uwagi kampania obejmowała wykorzystanie repozytoriów GitHub, które podawały się za źródła kodów do gier wideo i narzędzi modyfikujących. Te repozytoria potajemnie dystrybuowały złośliwe oprogramowanie Lumma Stealer za pośrednictwem dropperów opartych na .NET, co pokazuje, w jaki sposób atakujący wykorzystują popularne platformy, aby atakować niczego niepodejrzewających użytkowników.

Dlaczego ataki oparte na obrazach są groźne

Osadzanie złośliwego oprogramowania w obrazach to technika znana jako steganografia, która ukrywa złośliwy kod w pozornie niegroźnych plikach. Ta metoda omija wiele systemów antywirusowych, które rzadziej sprawdzają pliki obrazów. Korzystanie z zaufanych platform hostingowych, takich jak Archive.org, dodatkowo komplikuje działania związane z wykrywaniem.

Strategie łagodzenia dla organizacji

Aby bronić się przed tymi stale rozwijającymi się zagrożeniami, organizacje powinny wdrożyć następujące środki:

1. Naprawa znanych luk : naprawa luk w zabezpieczeniach nieaktualnego oprogramowania, np. CVE-2017-11882.
2. Włącz zaawansowaną detekcję zagrożeń : korzystaj z rozwiązań wykrywających steganografię i podejrzane zachowania plików.
3. Szkolenie pracowników : Przeszkol personel, aby umiał rozpoznawać wiadomości e-mail typu phishing i unikać otwierania nieoczekiwanych załączników.
4. Ogranicz dostęp do zaufanych źródeł : Ogranicz korzystanie z platform do udostępniania plików do zatwierdzonych domen.

Rozwijająca się komodyfikacja cyberprzestępczości

W miarę jak zestawy malware stają się coraz bardziej dostępne, atakujący o każdym poziomie umiejętności mogą tworzyć skuteczne łańcuchy infekcji. Integracja narzędzi AI w tworzeniu malware jeszcze bardziej zwiększa wyzwanie dla obrońców cyberbezpieczeństwa, sprawiając, że ataki stają się bardziej zróżnicowane i trudniejsze do przypisania.

Wyniki HP Wolf Security podkreślają pilną potrzebę wyprzedzania tych ewoluujących zagrożeń. Przyjmując proaktywne strategie obronne i monitorując pojawiające się taktyki, organizacje mogą lepiej chronić swoje sieci przed tymi wyrafinowanymi kampaniami.