Operațiunea de atac SteganoAmor
Grupul de hacking TA558 a inițiat o nouă campanie, folosind steganografia pentru a încorpora cod dăunător în imagini. Această tehnică le permite să distribuie în mod clandestin o gamă de instrumente malware pe sisteme specifice, evitând detectarea atât de către utilizatori, cât și de către software-ul de securitate.
Din 2018, TA558 a reprezentat o amenințare semnificativă, vizând în principal entitățile de ospitalitate și turism din întreaga lume, cu un accent notabil pe America Latină. Recent, experții în securitate cibernetică și-au dezvăluit cel mai recent efort, denumit „SteganoAmor”, subliniind dependența puternică a acestuia de steganografie. Analiza a scos la iveală peste 320 de atacuri asociate acestei campanii, impactând diverse sectoare și țări.
Cuprins
SteganoAmor începe cu difuzarea de e-mailuri frauduloase
Atacul începe cu e-mailuri înșelătoare care poartă atașamente de documente aparent inofensive, de obicei în format Excel sau Word, valorificând vulnerabilitatea CVE-2017-11882. Acest defect, care a afectat Microsoft Office Equation Editor și a fost remediat în 2017, servește drept țintă comună. Aceste e-mailuri sunt trimise de pe servere SMTP compromise pentru a le spori legitimitatea și pentru a reduce probabilitatea de a fi blocate.
În cazurile în care este utilizată o versiune învechită de Microsoft Office, exploit-ul declanșează descărcarea unui Script Visual Basic (VBS) din serviciul legitim „lipire la deschiderea fișierului.ee”. Ulterior, acest script este executat pentru a prelua un fișier imagine (JPG) care conține o sarcină utilă codificată în bază 64. În cadrul scriptului încorporat în imagine, codul PowerShell facilitează preluarea încărcăturii finale, ascunsă într-un fișier text și codificat în format inversat base64.
Numeroase amenințări dăunătoare implementate ca sarcini finale finale
Cercetătorii au observat numeroase iterații ale lanțului de atac, fiecare introducând o gamă diversă de familii de malware. Printre acestea se numără AgentTesla , care funcționează ca program spion capabil de înregistrarea tastelor și furtul de acreditări; FormBook, specializată în recoltarea acreditărilor și executarea comenzilor de la distanță; Remcos , permițând gestionarea și supravegherea de la distanță a mașinilor; LokiBot , care vizează date sensibile din diverse aplicații; Gulo a der, care servește ca program de descărcare pentru încărcături utile secundare, Snake Keylogger , captând taste și acreditări și XWorm , care oferă acces de la distanță la computerele compromise.
Încărcările finale și scripturile frauduloase își găsesc adesea refugiu în serviciile cloud de renume, cum ar fi Google Drive, pentru a-și exploata reputația favorabilă și a evita detectarea anti-malware. Informațiile culese sunt transmise către servere FTP legitime compromise, maschând traficul pentru a părea normal. Au fost identificate peste 320 de atacuri, cu un accent principal pe țările din America Latină, deși sfera de țintire se extinde la nivel global.
Phishing-ul rămâne un instrument extrem de puternic în Arsenalul infractorilor cibernetici
O serie de atacuri de tip phishing lansate de infractorii cibernetici care vizează organizații guvernamentale din Rusia, Belarus, Kazahstan, Uzbekistan, Kârgâzstan, Tadjikistan și Armenia au fost scoase la lumină de experții infosec. Aceste atacuri implementează un malware numit LazyStealer, conceput special pentru a extrage acreditările din Google Chrome. Cercetătorii monitorizează această serie de atacuri, denumite colectiv Lazy Koala, numită după pretinsul controlor al roboților Telegram care primesc datele furate.
Mai mult, analiza datelor demografice ale victimei și a caracteristicilor malware-ului sugerează potențiale conexiuni cu un alt grup de hacking cunoscut sub numele de YoroTrooper (cunoscut și ca SturgeonPhisher). Instrumentul principal utilizat de acest grup este un furt rudimentar, care folosește măsuri de protecție pentru a evita detectarea, a împiedica analiza, a colecta toate datele furate și a le transmite prin Telegram. Telegram a fost din ce în ce mai favorizat de actorii rău intenționați ca mijloc de comunicare sigur.
