Хакери використовують зображення, щоб приховати зловмисне програмне забезпечення, розгорнути VIP Keylogger і 0bj3ctivity Stealer

Згідно зі звітом HP Wolf Security Threat Insights Report за третій квартал 2024 року, кіберзлочинці виводять свою тактику скритності на новий рівень, вбудовуючи шкідливий код у файли зображень для доставки зловмисного програмного забезпечення, наприклад VIP Keylogger і 0bj3ctivity Stealer. Ці складні кампанії використовують надійні платформи, такі як Archive.org. поширювати зловмисне програмне забезпечення в обхід традиційних методів виявлення.

Як працює атака: зловмисне програмне забезпечення, приховане в зображеннях

Кампанії починаються з фішингових електронних листів, призначених для того, щоб змусити жертв відкрити шкідливі вкладення . Ці електронні листи часто імітують рахунки-фактури або замовлення на купівлю, щоб завоювати довіру. Після відкриття вкладення запускає експлойт для застарілої вразливості Microsoft Equation Editor ( CVE-2017-11882 ), щоб завантажити файл VBScript.

Ланцюг атаки

1. Фішинговий електронний лист : жертви отримують оманливий електронний лист із шкідливими вкладеннями.
2. Виконання VBScript : завантажений VBScript запускає сценарій PowerShell.
3. Отримання зображення : PowerShell завантажує зображення з Archive.org.
4. Вилучення зловмисного коду : зображення містить зловмисне програмне забезпечення, закодоване Base64, яке витягується та декодується у виконуваний файл .NET.
5. Доставка корисного навантаження : завантажувач .NET встановлює остаточне корисне навантаження зловмисного програмного забезпечення.

У першій кампанії цим корисним навантаженням є VIP Keylogger, інструмент, призначений для запису натискань клавіш, вмісту буфера обміну, знімків екрана та облікових даних. У другій кампанії корисним навантаженням є 0bj3ctivity Stealer, зловмисне програмне забезпечення для крадіжки інформації.

Комплекти зловмисного програмного забезпечення знижують бар’єр для зловмисників

Подібність між двома кампаніями вказує на те, що кіберзлочинці використовують набори шкідливих програм. Ці набори оптимізують процес атаки, зменшуючи технічний досвід, необхідний для виконання складних ланцюгів зараження. Ця тенденція відображає дедалі більшу комерціалізацію кіберзлочинності, де готові інструменти полегшують розгортання зловмисного програмного забезпечення навіть початківцям зловмисникам.

Додаткові техніки, що використовуються

HP Wolf Security також визначила контрабанду HTML як додаткову тактику. У цьому методі зловмисники доставляють зловмисне програмне забезпечення, наприклад XWorm RAT , використовуючи програми AutoIt, приховані у шкідливих файлах HTML. Повідомляється, що деякі з цих файлів були створені за допомогою інструментів GenAI, демонструючи, як штучний інтелект використовується для покращення доставки зловмисного програмного забезпечення та обфускації.

Кампанії GitHub доставляють Lumma Stealer

Ще одна цікава кампанія передбачала використання репозиторіїв GitHub, які видавалися за джерела кодів для відеоігор та інструментів для модифікації. Ці сховища таємно поширювали зловмисне програмне забезпечення Lumma Stealer через дроппери на основі .NET, підкреслюючи, як зловмисники використовують популярні платформи, щоб націлитися на нічого не підозрюючих користувачів.

Чому атаки на основі зображень становлять загрозу

Вбудовування шкідливого програмного забезпечення в зображення — це техніка, відома як стеганографія, яка приховує шкідливий код у, здавалося б, нешкідливих файлах. Цей метод обходить багато антивірусних систем, які менш імовірно перевірятимуть файли зображень. Використання надійних платформ хостингу, таких як Archive.org, ще більше ускладнює виявлення.

Стратегії пом'якшення для організацій

Щоб захиститися від цих нових загроз, організації повинні впровадити такі заходи:

1. Виправлення відомих уразливостей : усунення вразливостей застарілого програмного забезпечення, наприклад CVE-2017-11882.
2. Увімкнути розширене виявлення загроз : використовуйте рішення, здатні виявляти стеганографію та підозрілу поведінку файлів.
3. Навчайте співробітників : навчіть персонал розпізнавати фішингові електронні листи та уникати відкриття неочікуваних вкладень.
4. Обмежити доступ до надійних джерел : обмежте використання платформ обміну файлами схваленими доменами.

Зростаюча комодифікація кіберзлочинності

Оскільки набори шкідливих програм стають доступнішими, зловмисники будь-якого рівня кваліфікації можуть створювати ефективні ланцюжки зараження. Інтеграція інструментів штучного інтелекту у створення зловмисного програмного забезпечення ще більше посилює завдання для захисників кібербезпеки, роблячи атаки різноманітнішими та їх складніше віднести.

Висновки HP Wolf Security підкреслюють необхідність випереджати ці загрози, що розвиваються. Застосовуючи проактивні стратегії захисту та відстежуючи нові тактики, організації можуть краще захистити свої мережі від цих складних кампаній.