• Αρχική
  • Άρθρα
  • Το Separ Malware κλέβει κωδικούς πρόσβασης μέσω επιθέσεων phishing

Το Separ Malware κλέβει κωδικούς πρόσβασης μέσω επιθέσεων phishing

Ένα phishing campaign που χρησιμοποιεί έγγραφα PDF για την εξάπλωση του κακόβουλου λογισμικού Separ και κλέβει τα διαπιστευτήρια browser και email, είναι ενεργό εδώ και αρκετές εβδομάδες.

Από τότε που ξεκίνησε η επίθεση στα τέλη Ιανουαρίου, έχει επηρεάσει περίπου 200 εταιρείες και πάνω από 1.000 άτομα, που βρίσκονται κυρίως στη Νοτιοανατολική Ασία, τη Μέση Ανατολή και τη Βόρεια Αμερική – και οι χάκερς πίσω από την επίθεση συνεχίζουν να ανεβάζουν κλεμμένα στοιχεία καθημερινά, δήλωσαν οι ερευνητές ασφαλείας στο Threatpost.

Η αποτελεσματικότητα αυτού του phishing campaign, πηγάζει από μια απλή αλλά επικίνδυνη τακτική που χρησιμοποιείται από το Separ για την αποφυγή ανίχνευσης: Χρησιμοποιεί έναν συνδυασμό νόμιμων εκτελέσιμων αρχείων και σύντομων scripts.

“Αν και ο μηχανισμός επίθεσης που χρησιμοποιείται από αυτό το κακόβουλο λογισμικό είναι πολύ απλός και δεν έχει γίνει προσπάθεια από τον εισβολέα να αποφύγει την ανάλυση, η αύξηση του αριθμού των θυμάτων που προσβάλλονται από αυτό το κακόβουλο λογισμικό δείχνει ότι οι απλές επιθέσεις μπορούν να είναι πολύ πιο αποτελεσματικές”, δήλωσε ο Guy Propper σε μια δημοσίευση την Τρίτη.

Παλαιότερες παραλλαγές του Separ υπήρξαν από τον Νοέμβριο του 2017, ενώ τα άτομα που το υποκινούν ήταν ενεργά ήδη από το 2013, σύμφωνα με τους ερευνητές.

Αυτό που κάνει αυτή την επίθεση τόσο πετυχημένη είναι η χρήση μιας απλής αλλά δύσκολης τεχνικής που ονομάζεται “living off the land”. Οι χάκερς χρησιμοποίησαν αυτή τη τακτική στο παρελθόν για να ξεκινήσουν επιθέσεις βασισμένες σε νόμιμους φακέλους που είναι είτε συνηθισμένοι μέσα στο σύστημα στο οποίο επιτίθενται είτε είναι ευρέως χρησιμοποιούμενα εργαλεία διαχείρισης. Τα νόμιμα αρχεία μπορούν να καταστρατηγηθούν για την εκτέλεση κακόβουλων λειτουργιών.

Για το Separ, αυτό σημαίνει ότι χρησιμοποιεί αρχεία και νόμιμα εκτελέσιμα, για να πραγματοποιήσει τις κακόβουλες λειτουργίες του.

Αυτά τα νόμιμα εκτελέσιμα, περιλαμβάνουν εργαλεία καταχώρησης κωδικών πρόσβασης και ηλεκτρονικού ταχυδρομείου από το SecurityXploded, καθώς και λογισμικό από το NcFTP.

Διαδικασία επίθεσης

Η επίθεση ξεκινά με ένα phishing email το οποίο περιέχει ένα κακόβουλο συνημμένο – στην περίπτωση αυτή ένα έγγραφο PDF, που υποτίθεται ότι είναι ένα εκτελέσιμο αρχείο. Σύμφωνα με τους ερευνητές, τα ψεύτικα έγγραφα σχετίζονται με τις τιμές, τις αποστολές και τις προδιαγραφές εξοπλισμού και φαίνεται ότι στοχεύουν επιχειρήσεις.

Μόλις το θύμα κάνει κλικ στο συνημμένο “έγγραφο PDF”, το αρχείο εκκινεί το wscript.exe για να εκτελέσει ένα Script Visual Basic (VB Script) που ονομάζεται adobel.vbs.

Αφού αρχίσει να τρέχει το VB Script, εκτελεί μια σειρά σύντομων batch scripts, που έχουν διάφορες κακόβουλες λειτουργίες. Τα scripts μεταμφιέζονται ως ψεύτικα προγράμματα που σχετίζονται με την Adobe, ανέφεραν οι ερευνητές.

Αυτά τα scripts εκτελούν μια σειρά κακόβουλων λειτουργιών, οι οποίες περιλαμβάνουν την αλλαγή των ρυθμίσεων του τείχους προστασίας του συστήματος και την κλοπή όλων των διαπιστευτηρίων του ηλεκτρονικού ταχυδρομείου και του προγράμματος περιήγησης. Εν τω μεταξύ, το κακόβουλο λογισμικό ανοίγει επίσης μία άδεια εικόνα .jpg για να αποκρύψει τις δραστηριότητές του από το θύμα.

Για να κλέψει τα διαπιστευτήρια, το Separ χρησιμοποιεί τα εργαλεία password-dumping που παρέχονται από το SecurityXploded.

Το κακόβουλο λογισμικό χρησιμοποιεί ένα πρόγραμμα File Transfer Protocol (FTP) client για να φορτώσει τα κλεμμένα δεδομένα του σε μια νόμιμη υπηρεσία που ονομάζεται freehostia [.] Com.

Συνεχιζόμενη επίθεση

Η πρόσβαση στη υπηρεσία hosting που χρησιμοποιεί το Separ στις επιθέσεις του, δείχνει ότι η δραστηριότητά του συνεχίζεται και τα δεδομένα που έχουν κλαπεί από πολλά άλλα θύματα φορτώνονται καθημερινά, ανέφεραν οι ερευνητές.

Οι ερευνητές προτρέπουν τα δυνητικά θύματα να αποφεύγουν να κάνουν κλικ σε άγνωστους ή μη αξιόπιστους συνδέσμους.

Από secnews, ΦΩΤΟ: eurokinissi

Tο el.gr δημοσιεύει κάθε σχόλιο κάτω από  το άρθρο, μόνο από όσους και όσες έχουν επιβεβαιώσει το email τους στην υπηρεσία DISQUS. Ο καθένας και η κάθε μία έχουν το δικαίωμα να εκφράζουν ελεύθερα τις απόψεις τους. Αυτό όμως  δεν σημαίνει ότι το el.gr υιοθετεί τις απόψεις αυτές. Επίσης ξεκάθαρα θα διαγράφουμε  συκοφαντικά ή υβριστικά σχόλια αμέσως μόλις τα εντοπίσουμε  ή αμέσως μόλις μας καταγγελθούν. Ο καθένας φέρει την ευθύνη των όσων γράφει και το el.gr δεν φέρει καμία νομική ή άλλη ευθύνη, αφού στο διαδίκτυο ανωνυμία δεν υπάρχει.