Απειλήστε ηθοποιούς που χρησιμοποιούν οπλισμένα έγγραφα Word και PDF με θέμα AV για να επιτεθούν σε ισραηλινούς οργανισμούς

Ερευνητές ασφαλείας στα εργαστήρια Seqrite εντόπισαν μια εκστρατεία που ονομάζεται Operation IconCat, που στοχεύει ισραηλινούς οργανισμούς με οπλισμένα έγγραφα που έχουν σχεδιαστεί για να μοιάζουν με νόμιμα εργαλεία ασφαλείας.

Οι επιθέσεις ξεκίνησαν τον Νοέμβριο του 2025 και έχουν θέσει σε κίνδυνο πολλές εταιρείες σε τομείς τεχνολογίας πληροφοριών, υπηρεσιών στελέχωσης και ανάπτυξης λογισμικού.

Ο πυρήνας αυτής της επίθεσης βασίζεται σε ένα ψυχολογικό τέχνασμα: οι φορείς απειλών δημιουργούν πλαστά έγγραφα που μιμούνται αξιόπιστους προμηθευτές προστασίας από ιούς όπως το Check Point και το SentinelOne.

Όταν τα θύματα ανοίγουν αυτά τα μεταμφιεσμένα αρχεία, κατεβάζουν εν αγνοία τους επιβλαβές κακόβουλο λογισμικό που κρύβεται πίσω από μια γνωστή επωνυμία.

Η εκστρατεία δείχνει πώς η κοινωνική μηχανική σε συνδυασμό με την τεχνική πολυπλοκότητα μπορεί να παρακάμψει τις παραδοσιακές άμυνες ασφαλείας.

Δύο ξεχωριστές αλυσίδες επίθεσης αποτελούν το Operation IconCat. Και οι δύο χρησιμοποιούν παρόμοιες τακτικές, αλλά αναπτύσσουν διαφορετικές παραλλαγές κακόβουλου λογισμικού.

Η πρώτη αλυσίδα εστιάζει στην παράδοση βάσει εγγράφων χρησιμοποιώντας αρχεία PDF, ενώ η δεύτερη χρησιμοποιεί έγγραφα του Word με κρυφό κώδικα προγραμματισμού.

Αναλυτές της Seqrite αναγνωρισθείς το κακόβουλο λογισμικό μετά τη δεύτερη παράγραφο αναλύοντας ύποπτες μεταφορτώσεις αρχείων από το Ισραήλ με ημερομηνία 16 και 17 Νοεμβρίου 2025.

Το πρώτο κύμα επίθεσης περιλαμβάνει ένα αρχείο PDF με το όνομα help.pdf που παρουσιάζεται ως εγχειρίδιο σαρωτή ασφαλείας Check Point.

Το έγγραφο καθοδηγεί τους χρήστες να κατεβάσουν ένα εργαλείο που ονομάζεται “Security Scanner” από το Dropbox, προστατευμένο με τον κωδικό πρόσβασης “cloudstar”. Μέσα στο αρχείο υπάρχουν λεπτομερείς οδηγίες σχετικά με τον τρόπο εκτέλεσης σαρώσεων ασφαλείας, με στιγμιότυπα οθόνης με αυθεντική εμφάνιση.

Αυτό το PDF χρησιμεύει ως το σημείο εισόδου για την ανάπτυξη του PYTRIC, ενός κακόβουλου λογισμικού που βασίζεται σε Python και έχει συσκευαστεί χρησιμοποιώντας την τεχνολογία PyInstaller.

Σχετικά με τις δυνατότητες

Το PYTRIC φέρει σχετικές δυνατότητες πέρα ​​από την τυπική συμπεριφορά κακόβουλου λογισμικού. Η ανάλυση αποκαλύπτει ότι περιέχει λειτουργίες σχεδιασμένες για τη σάρωση αρχείων σε ολόκληρο το σύστημα, τον έλεγχο για δικαιώματα διαχειριστή και την εκτέλεση καταστροφικών ενεργειών, όπως η διαγραφή δεδομένων συστήματος και η διαγραφή αντιγράφων ασφαλείας.

Το κακόβουλο λογισμικό επικοινωνεί μέσω ενός bot Telegram που ονομάζεται Backup2040, επιτρέποντας στους εισβολείς να ελέγχουν εξ αποστάσεως μολυσμένα μηχανήματα. Αυτός ο συνδυασμός υποδηλώνει ότι οι παράγοντες της απειλής δεν σκοπεύουν απλώς να κλέψουν πληροφορίες, αλλά να τις καταστρέψουν εντελώς.

Η δεύτερη καμπάνια ακολουθεί ένα παρόμοιο μοτίβο αλλά με ένα εμφύτευμα με βάση τη σκουριά που ονομάζεται RUSTRIC. Ένα email ηλεκτρονικού ψαρέματος με δόρυ υποδύεται την LM Group, μια νόμιμη ισραηλινή εταιρεία ανθρώπινου δυναμικού, που χρησιμοποιεί τον πλαστό τομέα lm.co.il.

Το συνημμένο email περιέχει ένα κατεστραμμένο έγγραφο του Word με κρυφές μακροεντολές που εξάγουν και εκτελούν το τελικό ωφέλιμο φορτίο.

Το RUSTRIC επιδεικνύει προηγμένες δυνατότητες αναγνώρισης, ελέγχοντας για την παρουσία 28 διαφορετικών προϊόντων προστασίας από ιούς, συμπεριλαμβανομένων των Quick Heal, CrowdStrike και Kaspersky.

Μόλις εκτελεστεί μέσω των οργάνων διαχείρισης των Windows, εκτελεί εντολές συστήματος για την αναγνώριση του μολυσμένου υπολογιστή και τη δημιουργία συνδέσεων με διακομιστές που ελέγχονται από τους εισβολείς.

Οι ομάδες ασφαλείας θα πρέπει να αντιμετωπίζουν αυτές τις εκστρατείες ως απειλές υψηλής προτεραιότητας που απαιτούν άμεση έρευνα και προσπάθειες αποκατάστασης.