Изследователи в областта на киберсигурността са открили нова вълна от фишинг атаки, които целят да предоставят постоянно усъвършенстващ се инструмент за кражба на информация, наречен StrelaStealer.
Кампаниите засягат повече от 100 организации в ЕС и САЩ, твърдят изследователи от Palo Alto Networks Unit 42 в нов доклад, публикуван днес.
„Тези кампании са под формата на спам имейли с прикачени файлове, които в крайна сметка стартират полезния товар DLL на StrelaStealer“, заявиха изследователите Бенджамин Чанг, Гутам Трипати, Пранай Кумар Чхапарвал, Анмол Маурия и Вишва Тотхатри.
„В опит да избегнат откриването, нападателите променят първоначалния формат на файла на прикачения имейл от една кампания в друга, за да предотвратят откриването по предварително генерираните сигнатури или шаблони.“
Разкрит за първи път през ноември 2022 г., StrelaStealer е оборудван да извлича данни за вход в електронна поща от добре познати клиенти за електронна поща и да ги екфилтрира към контролиран от нападателя сървър.
Оттогава насам през ноември 2023 г. и януари 2024 г. са засечени две мащабни кампании с участието на зловредния софтуер, насочени към секторите на високите технологии, финансите, професионалната и юридическата сфера, производството, правителството, енергетиката, застраховането и строителството в ЕС и САЩ.
Тези атаки имат за цел да доставят и нов вариант на крадеца, който включва по-добри техники за замаскиране и антианализ, като същевременно се разпространява чрез имейли на тема фактури, съдържащи прикачени файлове ZIP, с което се измества от ISO файловете.
В ZIP архивите се съдържа JavaScript файл, който пуска пакетен файл, който на свой ред стартира DLL товара на крадеца, използвайки rundll32.exe – легитимен компонент на Windows, отговорен за стартирането на 32-битови динамични библиотеки.
Зловредният софтуер на крадеца също така разчита на множество трикове за замаскиране, за да затрудни анализа в сенд бокс среди.
„С всяка нова вълна от имейл кампании заплахите актуализират както прикачения файл, който инициира веригата на заразяване, така и самия DLL полезен товар“, казват изследователите.
Разкритието идва в момент, в който Symantec, собственост на Broadcom, разкри, че фалшиви инсталатори за добре познати приложения или кракнат софтуер, хоствани в GitHub, Mega или Dropbox, служат като канал за зловреден софтуер за кражба, известен като Stealc.
Наблюдавани са и фишинг кампании, предоставящи Revenge RAT и Remcos RAT (известен още като Rescoms), като последният се доставя чрез криптографска услуга (CaaS), наречена AceCryptor, според ESET.
„През втората половина на [2023 г.] Rescoms се превърна в най-разпространената фамилия зловреден софтуер, опакована от AceCryptor“, заяви фирмата за киберсигурност, позовавайки се на телеметрични данни. „Повече от половината от тези опити са се случили в Полша, следвана от Сърбия, Испания, България и Словакия.“
Сред другите видни нестандартни зловредни програми, опаковани в AceCryptor през втората половина на 2023 г., са SmokeLoader, STOP ransomware, RanumBot, Vidar, RedLine, Tofsee, Fareit, Pitou и Stealc. Струва си да се отбележи, че много от тези щамове на зловреден софтуер са били разпространени и чрез PrivateLoader.
Установено е, че друга социалноинженерна измама, наблюдавана от Secureworks, е насочена към лица, които търсят информация за наскоро починали лица в търсачките, с фалшиви некролози, разположени на фалшиви уебсайтове, като насочва трафика към сайтовете чрез отравяне на оптимизацията за търсачки (SEO), за да прокара в крайна сметка рекламен софтуер и други нежелани програми.
„Посетителите на тези сайтове се пренасочват към уебсайтове за електронни запознанства или за забавления за възрастни или веднага се представят CAPTCHA подкани, които инсталират уеб известия или изскачащи реклами, когато бъдат щракнати“, заяви компанията.
„Известията показват фалшиви предупреждения за вируси от известни антивирусни приложения като McAfee и Windows Defender и остават в браузъра, дори ако жертвата кликне върху някой от бутоните.“
„Бутоните препращат към легитимни целеви страници за абонаментни антивирусни софтуерни програми, а вграденият в хипервръзката идентификационен номер на партньора възнаграждава участниците в заплахите за нови абонаменти или подновявания.“
Макар че понастоящем фалшивото предприятие се ограничава до пълнене на касите на измамниците чрез партньорски програми за антивирусен софтуер, веригите за атаки могат лесно да бъдат пренасочени за предоставяне на програми за кражба на информация и други злонамерени програми, което го прави по-силна заплаха.
Разработката следва и откриването на нов клъстер за активност, проследен като Fluffy Wolf, който се възползва от фишинг имейли, съдържащи изпълним прикачен файл, за да достави коктейл от заплахи, като MetaStealer, Warzone RAT, XMRig miner и легитимен инструмент за отдалечен работен плот, наречен Remote Utilities.
Кампанията е знак, че дори неквалифицирани участници в заплахи могат да използват схеми за зловреден софтуер като услуга (MaaS), за да провеждат успешни атаки в голям мащаб и да ограбват чувствителна информация, която след това може да бъде монетизирана допълнително с цел печалба.
„Макар и посредствени по отношение на техническите си умения, тези участници в заплахите постигат целите си, като използват само два набора от инструменти: легитимни услуги за отдалечен достъп и евтин зловреден софтуер“, казват от BI.ZONE.