Ένας παράγοντας απειλών χρησιμοποιεί ψεύτικες αναρτήσεις στο
LinkedIn
και απευθείας μηνύματα σχετικά με μια θέση ειδικού στο
Facebook
Ads στην εταιρεία κατασκευής υλικού Corsair για να παρασύρει τους ανθρώπους να κατεβάσουν κακόβουλο λογισμικό που κλέβει πληροφορίες όπως το DarkGate και το RedLine.
Η εταιρεία
κυβερνοασφάλεια
ς WithSecure εντόπισε τη δραστηριότητα και παρακολούθησε τη δραστηριότητα της ομάδας, δείχνοντας σε μια αναφορά σήμερα ότι συνδέεται με βιετναμέζικες κυβερνοεγκληματικές ομάδες που είναι υπεύθυνες για τις καμπάνιες «Ducktail» που εντοπίστηκαν για πρώτη φορά πέρυσι.
Αυτές οι καμπάνιες στοχεύουν στην κλοπή πολύτιμων επιχειρηματικών λογαριασμών στο Facebook που μπορούν να χρησιμοποιηθούν για κακή διαφήμιση ή να πωληθούν σε άλλους εγκληματίες του κυβερνοχώρου.
Το DarkGate εντοπίστηκε για πρώτη φορά το 2017, αλλά η ανάπτυξή του παρέμεινε περιορισμένη μέχρι τον Ιούνιο του 2023, όταν ο συγγραφέας του αποφάσισε να πουλήσει την πρόσβαση στο κακόβουλο λογισμικό σε μεγαλύτερο κοινό.
Πρόσφατα παραδείγματα χρήσης του DarkGate περιλαμβάνουν επιθέσεις
phishing
μέσω του Microsoft Teams που ωθούν το ωφέλιμο φορτίο και αξιοποιούν παραβιασμένους λογαριασμούς Skype για να στείλουν σενάρια VBS για να ενεργοποιήσουν μια αλυσίδα μόλυνσης που οδηγεί στο κακόβουλο λογισμικό.
Κουρσάρο δέλεαρ
Οι βιετναμέζοι παράγοντες απειλών στόχευαν κυρίως χρήστες στις ΗΠΑ, το Ηνωμένο Βασίλειο και την Ινδία, οι οποίοι κατέχουν θέσεις διαχείρισης μέσων κοινωνικής δικτύωσης και είναι πιθανό να έχουν πρόσβαση σε επιχειρηματικούς λογαριασμούς στο Facebook. Το δέλεαρ παραδίδεται μέσω LinkedIn και περιλαμβάνει μια
προσφορά
εργασίας στην Corsair.
Οι στόχοι εξαπατώνται για τη λήψη κακόβουλων αρχείων από μια διεύθυνση URL (“g2[.]by/corsair-JD”) που ανακατευθύνει στο Google Drive ή στο Dropbox για να αποβάλει ένα αρχείο ZIP (“Μισθός και νέα προϊόντα.8.4.zip”) με ένα έγγραφο PDF ή DOCX και ένα αρχείο TXT με τα ακόλουθα ονόματα:
- Περιγραφή εργασίας του Corsair.docx
- Μισθός και νέα προϊόντα.txt
- PDF Μισθός και Προϊόντα.pdf
Οι ερευνητές της WithSecure ανέλυσαν τα μεταδεδομένα για τα παραπάνω αρχεία και βρήκαν πιθανούς οδηγούς για τη διανομή κλέφτη RedLine.
Το ληφθέν αρχείο περιέχει μια δέσμη ενεργειών VBS, πιθανώς ενσωματωμένη στο αρχείο DOCX, η οποία αντιγράφει και μετονομάζει το ‘curl.exe’ σε μια νέα θέση και το αξιοποιεί για τη λήψη του ‘autoit3.exe’ και ενός μεταγλωττισμένου σεναρίου Autoit3.
Το εκτελέσιμο εκκινεί το σενάριο και το τελευταίο αποσυμφορείται και κατασκευάζει το DarkGate χρησιμοποιώντας συμβολοσειρές που υπάρχουν στο σενάριο.
Τριάντα δευτερόλεπτα μετά την εγκατάσταση, το κακόβουλο λογισμικό επιχειρεί να απεγκαταστήσει προϊόντα ασφαλείας από το παραβιασμένο σύστημα, υποδεικνύοντας την ύπαρξη μιας αυτοματοποιημένης διαδικασίας.
Το LinkedIn εισήγαγε χαρακτηριστικά για την καταπολέμηση της κατάχρησης στην πλατφόρμα στα τέλη του περασμένου έτους που μπορούν να βοηθήσουν τους χρήστες να προσδιορίσουν εάν ένας λογαριασμός είναι ύποπτος ή ψεύτικος. Ωστόσο, εναπόκειται στους χρήστες να ελέγξουν τις επαληθευμένες πληροφορίες πριν εμπλακούν σε επικοινωνία με έναν νέο λογαριασμό.
Η WithSecure κυκλοφόρησε μια λίστα δεικτών συμβιβασμού (IoC) που θα μπορούσαν να βοηθήσουν τους οργανισμούς να αμυνθούν έναντι της δραστηριότητας αυτού του παράγοντα απειλής. Οι λεπτομέρειες περιλαμβάνουν διευθύνσεις IP, τομείς που χρησιμοποιούνται, διευθύνσεις URL, μεταδεδομένα αρχείων και ονόματα αρχείων.
VIA:
bleepingcomputer.com
