Έχει εμφανιστεί μια επικίνδυνη απειλή κακόβουλου λογισμικού που στοχεύει χρήστες Windows σε ολόκληρη την Κορέα μέσω υπηρεσιών κοινής χρήσης αρχείων webhard.
Το Ahnlab Security Intelligence Center εντόπισε πρόσφατα το xRAT, γνωστό και ως QuasarRAT, το οποίο διανέμεται ως ψεύτικα παιχνίδια για ενήλικες σε ανυποψίαστους χρήστες.
Αυτός ο trojan απομακρυσμένης πρόσβασης αντιπροσωπεύει μια σημαντική ανησυχία για την ασφάλεια των συστημάτων Windows, συνδυάζοντας εξελιγμένες τεχνικές αποφυγής με τακτικές κοινωνικής μηχανικής που τον καθιστούν ιδιαίτερα επικίνδυνο για τους καθημερινούς χρήστες.
Το κακόβουλο λογισμικό εκμεταλλεύεται τις υπηρεσίες webhard, οι οποίες είναι εξαιρετικά δημοφιλείς στην Κορέα για τη διανομή περιεχομένου.
Οι φορείς απειλών εκμεταλλεύονται την προσβασιμότητα αυτής της πλατφόρμας ανεβάζοντας συμπιεσμένα αρχεία μεταμφιεσμένα σε αθώα παιχνίδια και περιεχόμενο για ενηλίκους.
Οι χρήστες βλέπουν αυτό που φαίνεται να είναι νόμιμες λήψεις παιχνιδιών, αλλά αντ’ αυτού λαμβάνουν κακόβουλα αρχεία που κρύβονται πίσω από ελκυστικά ονόματα αρχείων και περιγραφές.
Αυτή η στρατηγική εξαπάτησης έχει αποδειχθεί εξαιρετικά αποτελεσματική, επιτρέποντας στους εισβολείς να υπονομεύουν συστήματα χωρίς να προκαλούν υποψίες στους χρήστες κατά την αρχική φάση λήψης.
.webp.jpeg "Κακόβουλο λογισμικό xRAT που επιτίθεται σε χρήστες Windows που μεταμφιέζονται ως παιχνίδι ενηλίκων")
αναλυτές της ASEC αναγνωρισθείς ότι πολλές παρόμοιες διανομές πραγματοποιήθηκαν μέσω του ίδιου παράγοντα απειλής, υποδηλώνοντας μια συντονισμένη εκστρατεία.
Αν και πολλές αναρτήσεις διαγράφηκαν μέχρι τη στιγμή της ανάλυσης, οι ερευνητές επιβεβαίωσαν ότι πολλά παιχνίδια μοιράζονταν πανομοιότυπα ωφέλιμα φορτία κακόβουλου λογισμικού.
Μηχανισμός μόλυνσης και επιμονής
Η τεχνική δομή αυτής της επίθεσης αποκαλύπτει εξελιγμένη μηχανική. Όταν οι χρήστες κάνουν λήψη του κακόβουλου λογισμικού, λαμβάνουν ένα αρχείο ZIP που περιέχει πολλαπλά στοιχεία, όπως το Game.exe, το Data1.Pak και αρχεία υποστήριξης.
Κατά την εκτέλεση, το Game.exe λειτουργεί ως εκκινητής παρά ως πραγματική εφαρμογή παιχνιδιού.
Όταν οι χρήστες κάνουν κλικ στο κουμπί αναπαραγωγής, το κακόβουλο λογισμικό αντιγράφει το Data1.Pak στο φάκελο Locales_module ως Play.exe, ενώ ταυτόχρονα αναπτύσσει τα Data2.Pak και Data3.Pak στη διαδρομή καταλόγου του Windows Explorer ως GoogleUpdate.exe και WinUpdate.db αντίστοιχα.
Η αλυσίδα μόλυνσης γίνεται πιο περίπλοκη όταν εκτελείται το GoogleUpdate.exe. Αναζητά το WinUpdate.db στον ίδιο κατάλογο και εφαρμόζει αποκρυπτογράφηση κρυπτογράφησης AES για την εξαγωγή του τελικού shellcode.
.webp.jpeg "Κακόβουλο λογισμικό xRAT που επιτίθεται σε χρήστες Windows που μεταμφιέζονται ως παιχνίδι ενηλίκων")
Αυτός ο shellcode εισάγεται στο explorer.exe, μια κρίσιμη διαδικασία των Windows, επιτρέποντας στο κακόβουλο λογισμικό να λειτουργεί με αυξημένα προνόμια.
Συγκεκριμένα, το κακόβουλο λογισμικό διορθώνει τη συνάρτηση EtwEventWrite στο explorer.exe με μια συγκεκριμένη οδηγία επιστροφής, απενεργοποιώντας ουσιαστικά την παρακολούθηση συμβάντων για την καταγραφή των Windows.
Αυτή η τεχνική επιμονής αποτρέπει τα εργαλεία ασφαλείας και τους διαχειριστές από τον εντοπισμό κακόβουλης δραστηριότητας μέσω τυπικών αρχείων καταγραφής συμβάντων.
Ο τελικός κώδικας που εισάγεται είναι το πραγματικό ωφέλιμο φορτίο xRAT, το οποίο εκτελεί επικίνδυνες λειτουργίες, όπως συλλογή πληροφοριών συστήματος, παρακολούθηση πληκτρολογίου και μη εξουσιοδοτημένες μεταφορές αρχείων.
Οι επαγγελματίες ασφάλειας συνιστούν τη λήψη προγραμμάτων αποκλειστικά από επίσημες πηγές και την ιδιαίτερη προσοχή κατά την πρόσβαση σε ιστότοπους κοινής χρήσης αρχείων για την αποφυγή τέτοιων μολύνσεων.
