Ερευνητές κυβερνοασφάλειας από το KrakenLabs του Outpost24 παρατήρησαν μια νέα και αρκετά μοναδική καμπάνια κακόβουλου λογισμικού που φαίνεται να δίνει αξία στην ποσότητα έναντι της ποιότητας.
Συνήθως, όταν οι χάκερ παραβιάζουν μια συσκευή, αναπτύσσουν ένα μόνο κομμάτι κακόβουλου λογισμικού και προσπαθούν να παραμείνουν αόρατοι και επίμονοι, καθώς χρησιμοποιούν τον υπολογιστή για όποιον τελικό στόχο έχουν.
Αλλά αυτή η νέα καμπάνια, που ονομάστηκε Unfurling Hemlock, κάνει το ακριβώς αντίθετο, κάνοντας την να ξεχωρίζει στον κόσμο του εγκλήματος στον κυβερνοχώρο. Οι ερευνητές λένε ότι μόλις το θύμα ενεργοποιήσει το εκτελέσιμο λογισμικό κακόβουλου λογισμικού – στην περίπτωση αυτή ονομάζεται “EXTRACT.EXE” – λαμβάνει μια χούφτα διαφορετικών κακόβουλων προγραμμάτων, infostealers και εκτελέσιμων
botnet
.
Βόμβα συμπλέγματος κακόβουλου λογισμικού
Οι πιθανότητες να παραληφθεί το κακόβουλο λογισμικό από λύσεις κυβερνοασφάλειας είναι υψηλές, αλλά οι ερευνητές πιστεύουν ότι οι εισβολείς ελπίζουν ότι τουλάχιστον μερικά από τα ωφέλιμα φορτία θα επιβιώσουν από την εκκαθάριση. Μεταξύ των πραγμάτων που έχουν πέσει στις συσκευές είναι το Redline (δημοφιλές infostealer), το RisePro (ένα επερχόμενο infostealer), το Mystic Stealer (infostealing
malware
-as-a-service), το Amadey (loader), το SmokeLoader (άλλο πρόγραμμα φόρτωσης), το Protection Disabler (ένα βοηθητικό πρόγραμμα). που απενεργοποιεί το
Windows
Defender και άλλες δυνατότητες ασφαλείας), το Enigma Packer (
εργαλείο
συσκότισης), το Healer (λύση κατά της ασφάλειας) και το Performance Checker (ένα βοηθητικό πρόγραμμα που ελέγχει και καταγράφει την απόδοση της εκτέλεσης κακόβουλου λογισμικού).
Αυτή η «βόμβα διασποράς κακόβουλου λογισμικού» εντοπίστηκε για πρώτη φορά τον Φεβρουάριο του 2024, είπαν οι ερευνητές, υποστηρίζοντας ότι έχουν δει περισσότερα από 50.000 αρχεία βομβών διασποράς, όλα με μοναδικά χαρακτηριστικά που τα συνδέουν με το Unfurling Hemlock.
Η KrakenLabs δεν μπορούσε να πει με απόλυτη βεβαιότητα ποιοι είναι οι παράγοντες απειλής πίσω από το Unfurling Hemlock, αλλά είναι αρκετά βέβαιοι ότι είναι ανατολικής Ευρώπης. Μερικά από τα στοιχεία που δείχνουν προς αυτή την κατεύθυνση είναι η χρήση της ρωσικής γλώσσας σε ορισμένα από τα δείγματα και η χρήση του Αυτόνομου Συστήματος 203727, που σχετίζεται με μια υπηρεσία φιλοξενίας που χρησιμοποιούν συνήθως οι ομάδες εγκλήματος στον κυβερνοχώρο στην περιοχή.
Ευτυχώς, το κακόβουλο λογισμικό που προωθείται μέσω αυτής της καμπάνιας είναι γνωστό και τα περισσότερα αξιόπιστα προγράμματα προστασίας από ιούς θα το επισημάνουν.
Μέσω
BleepingComputer
VIA:
TechRadar.com/
0