Χάκερς στοχεύουν αεροπορικούς οργανισμούς με νέο malware!

Η

Microsoft

εξέδωσε



προειδοποίηση

για μια

συνεχιζόμενη εκστρατεία spear-phishing

που στοχεύει

αεροπορικούς και ταξιδιωτικούς οργανισμούς

, με πολυάριθμα trojans απομακρυσμένης πρόσβασης (RAT) που αναπτύσσονται με τη

χρήση

ενός νέου malware loader.

Συγκεκριμένα, ο τεχνολογικός κολοσσός ανέφερε στη σχετική του

ανακοίνωση

τα ακόλουθα:

«Τους τελευταίους μήνες, η

Microsoft

παρακολουθεί μια δυναμική εκστρατεία που στοχεύει τους τομείς της αεροδιαστημικής και των ταξιδιών με spear-



phishing emails

, τα οποία διανέμουν ένα loader που αναπτύσσεται ενεργά και παραδίδει, στη συνέχεια, το RevengeRAT ή το AsyncRAT.»

Διαβάστε επίσης:

Janeleiro: Το νέο banking trojan που στοχεύει οργανισμούς και



κυβερνήσεις

Τα




phishing emails


των επιτιθέμενων

πλαστογραφούν νόμιμους οργανισμούς

και χρησιμοποιούν ως «δόλωμα»



εικόνες

που

παρουσιάζονται ως έγγραφα PDF

,


τα οποία υποτίθεται ότι περιέχουν πληροφορίες σχετικά με διάφορους κλάδους, συμπεριλαμβανομένων εκείνων της αεροδιαστημικής και των ταξιδιών.

Όπως παρατήρησε η

Microsoft

κατά την

παρακολούθηση

αυτής της εκστρατείας, οι κακόβουλοι παράγοντες

έχουν ως τελικό στόχο

να αποκτήσουν πρόσβαση και να κλέψουν



δεδομένα

από «μολυσμένες»



συσκευές

, χρησιμοποιώντας τις



δυνατότητες

του απομακρυσμένου ελέγχου, του keylogging και της κλοπής κωδικών πρόσβασης των RAT.

Μόλις αναπτυχθεί,

το malware επιτρέπει στους

χάκερς

να τραβήξουν screenshots, καθώς και να κλέψουν

credentials

, webcam data, browser και clipboard data και data συστήματος και δικτύου

.

Δείτε ακόμη:

Teabot: Το νέο Android malware στοχεύει



τράπεζες

στην

Ευρώπη

!

Το πρόσφατα ανακαλυφθέν loader – που αναλυτές malware της

Morphisec

ονόμασαν

“Snip3”

– χρησιμοποιείται για τη διανομή των

Revenge RAT, AsyncRAT, Agent Tesla, και NetWire RAT payloads

σε παραβιασμένα

συστήματα

.

Επιπλέον, τα links που καταχρώνται νόμιμες web



υπηρεσίες

και ενσωματώνονται στα



phishing emails

, κατεβάζουν τα


αρχεία

VBScript VBS

πρώτου σταδίου που εκτελούν ένα

PowerShell script

δεύτερου σταδίου, το οποίο με τη σειρά του εκτελεί το

τελικό RAT payload

χρησιμοποιώντας το

Process Hollowing

.

Πρόταση:

Παγκόσμια phishing καμπάνια διασπείρει νέα στελέχη malware

Το Snip3 έρχεται επίσης με τη

δυνατότητα αναγνώρισης sandboxing και virtual περιβαλλόντων

, σύμφωνα με την Morphisec, γεγονός που το καθιστά ιδιαίτερα ικανό να

παρακάμψει detection-centric anti-malware λύσεις

.

Για να αποφύγει τον εντοπισμό, το malware loader χρησιμοποιεί πρόσθετες τεχνικές όπως οι ακόλουθες:

• Εκτέλεση
  
  PowerShell code
  
  με την
  
  «remotesigned»
  
  παράμετρο
• 
  Χρήση
  
  του
  
  Pastebin
  
  και του
  
  top4top
  
  για staging
• Compilation των
  
  RunPE loaders
  
  στο endpoint

Οι



οργανισμοί

μπορούν να χρησιμοποιούν

δείγματα queries

που έχει κοινοποιήσει η

Microsoft

για «εξελιγμένο κυνήγι» χρησιμοποιώντας το






Microsoft

365 Defender

, για να τους βοηθήσει να εντοπίσουν και να διερευνήσουν παρόμοια ύποπτη συμπεριφορά και δραστηριότητα που συνδέεται με αυτή την τρέχουσα εκστρατεία phishing.

Πηγή πληροφοριών: bleepingcomputer.com