Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται πλέον εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης για να διαδώσουν επικίνδυνο κακόβουλο λογισμικό αποφεύγοντας τον εντοπισμό από τα συστήματα ασφαλείας.
Η καμπάνια επίθεσης στοχεύει χρήστες που κατεβάζουν αυτό που φαίνεται να είναι δημοφιλές λογισμικό, όπως το Notepad++, το 7-Zip ή το ChatGPT, από ψεύτικους ιστότοπους.
Αντί να λάβουν το πραγματικό πρόγραμμα, τα θύματα εγκαθιστούν εν αγνοία τους το LogMeIn Resolve ή το PDQ Connect, το οποίο δίνει στους χάκερ τον πλήρη έλεγχο των υπολογιστών τους.
Η επίθεση ξεκινά όταν οι χρήστες επισκέπτονται ιστότοπους που φαίνεται να είναι επίσημες σελίδες λήψης για αξιόπιστα βοηθητικά προγράμματα.
Αυτές οι ψεύτικες σελίδες προσφέρουν λήψεις για προγράμματα όπως το notepad++.exe, το 7-zip.exe, το winrar.exe και ακόμη και το chatgpt.exe.
.webp.jpeg)
Όταν κάποιος κάνει κλικ στο κουμπί λήψης, λαμβάνει μια τροποποιημένη έκδοση του LogMeIn Resolve που συνδέεται απευθείας με τον διακομιστή εντολών του εισβολέα.
Τα κακόβουλα αρχεία προγράμματος εγκατάστασης εντοπίστηκαν χρησιμοποιώντας ονόματα όπως Microsoft.exe, OpenAI.exe και windows12_installer.exe για να εξαπατήσουν τους χρήστες να πιστέψουν ότι είναι νόμιμα.
Ερευνητές ασφαλείας ASEC αναγνωρισθείς αυτή η καμπάνια μετά από διερεύνηση ασυνήθιστης δραστηριότητας που περιλαμβάνει εργαλεία RMM στην Κορέα.
Ανακάλυψαν ότι πίσω από τις επιθέσεις βρίσκονταν τρεις διαφορετικοί παράγοντες απειλών, ο καθένας από τους οποίους χρησιμοποιούσε μοναδικούς αριθμούς αναγνώρισης εταιρείας που είναι ενσωματωμένοι στα αρχεία διαμόρφωσης LogMeIn.
Οι ερευνητές βρήκαν τα εταιρικά αναγνωριστικά 8347338797131280000, 1995653637248070000 και 4586548334491120000 που χρησιμοποιούνται για τον έλεγχο των μολυσμένων συστημάτων.
Μόλις εγκατασταθεί το ψεύτικο λογισμικό LogMeIn ή PDQ Connect, οι χάκερ μπορούν να εκτελέσουν εντολές PowerShell από απόσταση για να κατεβάσουν επιπλέον κακόβουλο λογισμικό.
Οι εισβολείς χρησιμοποιούν αυτά τα εργαλεία για να ρίξουν μια κερκόπορτα που ονομάζεται PatoRAT στους υπολογιστές των θυμάτων. Αυτό το κακόβουλο λογισμικό, που αναπτύχθηκε στους Δελφούς, περιλαμβάνει συμβολοσειρές στην πορτογαλική γλώσσα στον κώδικά του, υποδηλώνοντας ότι οι προγραμματιστές μπορεί να προέρχονται από περιοχές που μιλούν πορτογαλικά.
Πώς το κακόβουλο λογισμικό αποκτά τον έλεγχο
Το PatoRAT λειτουργεί δημιουργώντας μια σύνδεση με διακομιστές εντολών και ελέγχου και στέλνοντας λεπτομερείς πληροφορίες σχετικά με τον μολυσμένο υπολογιστή.
Το κακόβουλο λογισμικό συλλέγει το όνομα του υπολογιστή, το όνομα χρήστη, τις λεπτομέρειες του λειτουργικού συστήματος, τη χρήση μνήμης, την ανάλυση οθόνης και τα ενεργά παράθυρα.
Αυτά τα δεδομένα κρυπτογραφούνται χρησιμοποιώντας έναν απλό κρυπτογράφηση XOR με το κλειδί 0xAA και αποθηκεύονται στην ενότητα πόρων στην ενότητα “APPCONFIG”.
Η κερκόπορτα υποστηρίζει επικίνδυνες λειτουργίες, συμπεριλαμβανομένου του ελέγχου του ποντικιού, της καταγραφής οθόνης, της καταγραφής πλήκτρων, της κλοπής κωδικών πρόσβασης του προγράμματος περιήγησης και ακόμη και της εγκατάστασης εργαλείων προώθησης θυρών.
Οι ομάδες ασφαλείας συνιστούν τη λήψη λογισμικού μόνο από επίσημους ιστότοπους, τον έλεγχο ψηφιακών πιστοποιητικών και τη διατήρηση ενημερωμένων προγραμμάτων προστασίας από ιούς για την αποτροπή αυτών των επιθέσεων.
