Gumagamit ang mga Hacker ng Mga Larawan para Itago ang Malware, I-deploy ang VIP Keylogger at 0bj3ctivity Stealer

Sa pamamagitan ng Mura sa Seguridad ng Computer

Isalin To:

Ang mga cybercriminal ay dinadala ang kanilang stealth tactics sa susunod na antas sa pamamagitan ng pag-embed ng malisyosong code sa mga image file para maghatid ng malware gaya ng VIP Keylogger at 0bj3ctivity Stealer, ayon sa Threat Insights Report ng HP Wolf Security para sa Q3 2024. Ang mga sopistikadong campaign na ito ay nagsasamantala sa mga pinagkakatiwalaang platform tulad ng Archive.org upang ipamahagi ang malware habang nilalampasan ang mga tradisyonal na paraan ng pagtuklas.

Talaan ng mga Nilalaman

Paano Gumagana ang Pag-atake: Nakatago ang Malware sa Mga Larawan

Ang mga kampanya ay nagsisimula sa isang phishing na email na idinisenyo upang linlangin ang mga biktima sa pagbubukas ng mga nakakahamak na attachment . Kadalasang ginagaya ng mga email na ito ang mga invoice o purchase order para magkaroon ng kredibilidad. Kapag nabuksan, ang attachment ay nagti-trigger ng pagsasamantala para sa hindi napapanahong kahinaan ng Microsoft Equation Editor ( CVE-2017-11882 ) upang mag-download ng VBScript file.

Ang Attack Chain

Phishing Email : Nakatanggap ang mga biktima ng mapanlinlang na email na naglalaman ng mga nakakahamak na attachment.
VBScript Execution : Ang na-download na VBScript ay nagpapatakbo ng PowerShell script.
Pagkuha ng Larawan : Nagda-download ang PowerShell ng larawan mula sa Archive.org.
Malicious Code Extraction : Ang larawan ay naglalaman ng Base64-encoded malware na kinukuha at nade-decode sa isang .NET executable.
Paghahatid ng Payload : Ini-install ng .NET loader ang huling malware payload.

Sa unang kampanya, ang payload na ito ay VIP Keylogger, isang tool na idinisenyo upang makuha ang mga keystroke, nilalaman ng clipboard, mga screenshot, at mga kredensyal. Sa pangalawang campaign, ang payload ay 0bj3ctivity Stealer, isang malware na nagnanakaw ng impormasyon.

Pinababa ng Mga Malware Kit ang Barrier para sa mga Attacker

Ang mga pagkakatulad sa pagitan ng dalawang kampanya ay nagpapahiwatig na ang mga cybercriminal ay gumagamit ng mga malware kit. Ang mga kit na ito ay nagpapadali sa proseso ng pag-atake, na binabawasan ang teknikal na kadalubhasaan na kinakailangan upang maisagawa ang mga kumplikadong chain ng impeksyon. Ang trend na ito ay sumasalamin sa dumaraming commodification ng cybercrime, kung saan ang mga pre-built na tool ay nagpapadali para sa kahit na mga baguhang umaatake na mag-deploy ng malware.

Mga Karagdagang Teknik sa Paggamit

Tinukoy din ng HP Wolf Security ang HTML smuggling bilang isang pantulong na taktika. Sa paraang ito, ang mga umaatake ay naghahatid ng malware tulad ng XWorm RAT gamit ang AutoIt dropper na nakatago sa mga malisyosong HTML file. Ang ilan sa mga file na ito ay naiulat na nabuo gamit ang mga tool ng GenAI, na nagpapakita kung paano ginagamit ang artificial intelligence upang mapahusay ang paghahatid ng malware at obfuscation.

Inihahatid ng Mga Kampanya sa GitHub ang Lumma Stealer

Ang isa pang kapansin-pansing kampanya ay nagsasangkot ng paggamit ng mga imbakan ng GitHub na nagpanggap bilang mga mapagkukunan para sa mga cheat ng video game at mga tool sa pagbabago. Lihim na ipinamahagi ng mga repositoryong ito ang Lumma Stealer malware sa pamamagitan ng mga dropper na nakabatay sa .NET, na itinatampok kung paano sinasamantala ng mga umaatake ang mga sikat na platform upang i-target ang mga hindi mapag-aalinlanganang user.

Bakit Nagbabanta ang Mga Pag-atake na Batay sa Imahe

Ang pag-embed ng malware sa mga larawan ay isang pamamaraan na kilala bilang steganography, na nagtatago ng malisyosong code sa tila hindi nakapipinsalang mga file. Ang pamamaraang ito ay lumalampas sa maraming mga antivirus system, na mas malamang na suriin ang mga file ng imahe. Ang paggamit ng mga pinagkakatiwalaang platform sa pagho-host tulad ng Archive.org ay higit pang nagpapakumplikado sa mga pagsusumikap sa pagtuklas.

Mga Istratehiya sa Pagbabawas para sa mga Organisasyon

Upang ipagtanggol laban sa mga umuusbong na banta na ito, dapat ipatupad ng mga organisasyon ang mga sumusunod na hakbang:

Patch na Mga Kilalang Vulnerabilities : Tugunan ang mga hindi napapanahong kahinaan ng software tulad ng CVE-2017-11882.
I-enable ang Advanced Threat Detection : Gumamit ng mga solusyon na may kakayahang makakita ng steganography at kahina-hinalang gawi ng file.
Turuan ang mga Empleyado : Sanayin ang mga kawani na kilalanin ang mga email ng phishing at iwasang magbukas ng mga hindi inaasahang attachment.
Limitahan ang Access sa Mga Pinagkakatiwalaang Pinagmumulan : Limitahan ang paggamit ng mga platform sa pagbabahagi ng file sa mga naaprubahang domain.

Ang Lumalagong Commodification ng Cybercrime

Habang nagiging mas naa-access ang mga malware kit, ang mga umaatake sa lahat ng antas ng kasanayan ay maaaring mag-assemble ng mga epektibong chain ng impeksyon. Ang pagsasama-sama ng mga tool ng AI sa paglikha ng malware ay higit na pinalalakas ang hamon para sa mga tagapagtanggol ng cybersecurity, na ginagawang mas iba-iba at mas mahirap ipatungkol ang mga pag-atake.

Binibigyang-diin ng mga natuklasan ng HP Wolf Security ang pagkaapurahan ng pananatiling nangunguna sa mga umuusbong na banta na ito. Sa pamamagitan ng paggamit ng mga proactive na diskarte sa pagtatanggol at pagsubaybay sa mga umuusbong na taktika, mas mapangalagaan ng mga organisasyon ang kanilang mga network laban sa mga sopistikadong kampanyang ito.

Ang SpyHunter ng EnigmaSoft para sa Windows ay Nakamit ang AV-TEST Certification

Paghahanap

Baguhin ang Rehiyon