Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări phishing ȘOBOLAN FANTOMĂ PULSE

ȘOBOLAN FANTOMĂ PULSE

Până în Mezo în phishing, Instrumente de administrare la distanță
Tradu in:

A apărut o campanie sofisticată de inginerie socială, care exploatează Obsidian ca vector inițial de acces pentru a implementa un troian de acces la distanță pentru Windows, nedocumentat anterior, cunoscut sub numele de PHANTOMPULSE. Campania vizează în mod specific persoanele care operează în sectoarele financiar și al criptomonedelor, valorificând încrederea în instrumente legitime pentru a ocoli așteptările tradiționale de securitate.

Operațiunea REF6598: Înșelăciune prin rețele profesionale

Desemnată REF6598 de către cercetătorii în domeniul securității cibernetice, această campanie folosește tehnici avansate de inginerie socială prin intermediul LinkedIn și Telegram. Țintele sunt abordate inițial sub pretextul colaborării cu o firmă de capital de risc. Conversațiile sunt ulterior transferate către chat-uri de grup Telegram populate cu „parteneri” imitați, creând o fațadă convingătoare de legitimitate.

În cadrul acestor grupuri, discuțiile se învârt în jurul serviciilor financiare și al strategiilor de lichiditate a criptomonedelor, consolidând credibilitatea. Victimele sunt în cele din urmă instruite să acceseze un tablou de bord partajat prin intermediul unui seif Obsidian găzduit în cloud, folosind acreditările furnizate.

Declanșatorul ascuns: Activarea seifului rău intenționat

Lanțul de infectare este activat atunci când victima deschide seiful partajat în Obsidian. În această etapă, utilizatorului i se solicită să activeze sincronizarea pentru „Plugin-urile comunitare instalate”, o funcție dezactivată în mod implicit. Această acțiune manuală este esențială, deoarece permite executarea configurațiilor rău intenționate încorporate.

Atacatorii exploatează pluginuri legitime, în special Shell Commands și Hider, pentru a rula cod neautorizat. În timp ce Shell Commands facilitează execuția, Hider ascunde elemente de interfață precum bara de stare și tooltip-urile, reducând probabilitatea de detectare. Atacul se bazează în întregime pe convingerea utilizatorului să activeze sincronizarea pluginurilor, ocolind astfel măsurile de siguranță încorporate.

Evadare prin design: Trăind din caracteristici legitime

Această campanie se remarcă prin abuzul strategic al funcționalității aplicațiilor de încredere, în loc să exploateze vulnerabilitățile software. Caracteristicile cheie includ:

  • Sarcinile utile rău intenționate sunt încorporate în fișierele de configurare JSON, ceea ce le face mai puțin susceptibile de a declanșa detectarea antivirus tradițională.
  • Execuția se realizează printr-o aplicație bazată pe Electron semnată, ceea ce complică detectarea bazată pe procesul părinte.
  • Persistența și execuția comenzilor se bazează în întregime pe mecanisme legitime ale pluginurilor din cadrul aplicației.

Lanțul de infecții Windows: De la încărcător la backdoor rezident în memorie

Pe sistemele Windows, atacul inițiază un lanț de execuție bazat pe PowerShell care implementează un încărcător intermediar numit PHANTOMPULL. Acest încărcător decriptează și lansează PHANTOMPULSE direct în memorie, evitând detectarea pe disc.

PHANTOMPULSE încorporează rezoluția Command-and-Control (C2) bazată pe blockchain prin interogarea rețelei Ethereum. Acesta preia cea mai recentă tranzacție legată de o adresă de portofel codificată hard-coded pentru a determina dinamic serverul său C2. Comunicarea se realizează prin WinHTTP, permițând exfiltrarea datelor, recuperarea comenzilor și raportarea execuției.

Malware-ul oferă suport pentru o gamă largă de capabilități de control de la distanță:

  • inject: injectează cod shell, DLL-uri sau executabile în procese
  • drop: scrie și execută fișiere pe disc
  • captură de ecran: capturează și încarcă date de ecran
  • keylog: activează sau dezactivează înregistrarea apăsărilor de taste
  • dezinstalare: elimină mecanismele de persistență și curăță artefactele
  • elevate: escaladează privilegiile la SYSTEM folosind elevarea COM
  • downgrade: reduce privilegiile de la nivelul SYSTEM la nivelul de administrator

Variantă macOS: Ofuscare și infrastructură C2 flexibilă

Pe macOS, atacul utilizează un AppleScript ofuscat, livrat prin același mecanism de plugin. Scriptul parcurge ciclic o listă predefinită de domenii și folosește Telegram ca un rezolver de rezervă pentru blocarea domeniilor C2. Acest design permite rotația rapidă a infrastructurii, făcând ineficiente strategiile tradiționale de blocare a domeniilor.

Etapa finală implică recuperarea și executarea unei sarcini utile secundare prin intermediul osascript. Cu toate acestea, din cauza serverelor C2 inactive la momentul analizei, capacitățile complete ale acestei sarcini utile rămân nedeterminate.

Rezultatul atacului și implicațiile strategice

Intruziunea observată a fost în cele din urmă nereușită, deoarece măsurile defensive au detectat și blocat atacul înainte ca obiectivele să fie atinse. Cu toate acestea, REF6598 evidențiază o evoluție semnificativă în metodologia actorilor amenințători.

Prin exploatarea aplicațiilor de încredere și bazându-se pe modificări de configurație determinate de utilizator, adversarii ocolesc eficient controalele de securitate convenționale. Această abordare subliniază o tendință în creștere: transformarea funcțiilor software legitime în canale de execuție ascunse, subliniind necesitatea unei conștientizări sporite a utilizatorilor și a monitorizării comportamentale în apărarea cibernetică.

Trending

Cele mai văzute

Se încarcă...