Οι ειδικοί ανακάλυψαν μια νέα εγκληματική καμπάνια που στοχεύει τα υπολογιστικά φύλλα του Microsoft Excel για τη διανομή κακόβουλου λογισμικού Trojan.
Ερευνητές κυβερνοασφάλειας από την Morphisec Labs εντόπισαν τη ρωσική ομάδα hacking FIN7 (γνωστή και ως Carbanak) να διανέμει ένα μικρό, ελαφρύ RAT (Remote Access Trojan), μια παραλλαγή του JSSLoader, μέσω αρχείων τύπου XLL και XLM.
Αυτά τα αρχεία φέρουν κάποια πρόσθετα τα οποία επιτρέπουν στους εισβολείς να εκμεταλλεύονται δεδομένα, να παρακολουθούν τον χρήστη και να ζητούν από το RAT να εκτελεί αυτόματες ενημερώσεις, μεταξύ άλλων.
Αυτό το συγκεκριμένο RAT κυκλοφορεί από τον Δεκέμβριο του 2020. Ωστόσο, οι εισβολείς προσπαθούν να διανείμουν ένα ανυπόγραφο αρχείο, πράγμα που σημαίνει ότι το Excel θα εμφανίσει μια σαφή προειδοποίηση ότι η εκτέλεση του αρχείου ενέχει κινδύνους.
Οι ερευνητές εξηγούν ότι αυτά τα αρχεία XLL, εάν το θύμα τα ενεργοποιήσει, χρησιμοποιούν κακόβουλο κώδικα που βρίσκεται στη λειτουργία xlAutoOpen, φορτώνονται στη μνήμη και μετά κάνουν λήψη του κακόβουλου λογισμικού από έναν απομακρυσμένο διακομιστή. Μετά από αυτό, χρησιμοποιούν μια κλήση API για να εκτελέσουν τη διαδικασία.
Παρόλο που έχει την ίδια ροή εκτέλεσης, αυτή η παραλλαγή JSSLoader είναι λίγο διαφορετική από τις παλαιότερες, καθώς είναι σε θέση να μετονομάζει όλες τις λειτουργίες και τις μεταβλητές, σε μια προσπάθεια να παραμείνει αόρατη από τα διάφορα λογισμικά προστασίας ιών και άλλων λύσεων ασφαλείας.
Επίσης, χωρίζει τις συμβολοσειρές (strings) σε υποσυμβολοσειρές (sub-strings) και τις «δένει» κατά την εκτέλεση, για να αποφευχθεί περαιτέρω η ανίχνευση από εργαλεία malware όπως το YARA.
Αυτές οι νέες μέθοδοι αποφυγής ανίχνευσης, μαζί με τον τρόπο που φορτώνεται το RAT, είναι αρκετές ώστε αυτό να παραμείνει κρυφό από τις περισσότερες λύσεις προστασίας από ιούς, όπως αναφέρει η Morphisec.
Η ομάδα FIN7 μπορεί να το χρησιμοποιήσει στο παραβιασμένο δίκτυο για μέρες ή και εβδομάδες προτού εντοπιστεί. insomniagr
0 Post a Comment:
Δημοσίευση σχολίου