Ένα νέο κύμα phishing κάνει κατάχρηση των ψεύτικων ειδοποιήσεων DocuSign για την απόρριψη κρυφού κακόβουλου λογισμικού σε συστήματα Windows.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου αντιγράφουν την πραγματική επωνυμία DocuSign και παροτρύνουν τους χρήστες να επανεξετάσουν μια εκκρεμή συμφωνία, ωθώντας τους προς έναν σύνδεσμο που ισχυρίζεται ότι φιλοξενεί το αρχείο.
Μόλις γίνει κλικ, η αλυσίδα μετατοπίζεται από το πρόγραμμα περιήγησης σε έναν φορτωτή πολλαπλών σταδίων που έχει σχεδιαστεί για να αποφεύγει τις βασικές άμυνες ηλεκτρονικού ταχυδρομείου και τερματικών σημείων.
Ο σύνδεσμος phishing οδηγεί σε μια ιστοσελίδα που ζητά από το θύμα έναν κωδικό πρόσβασης πριν εμφανίσει το υποτιθέμενο έγγραφο.
Αυτή η πύλη ενισχύει την εμπιστοσύνη και επίσης αποκλείει πολλά αυτοματοποιημένα sandbox, τα οποία δεν γνωρίζουν τον σωστό κωδικό.
.webp.jpeg)
Πίσω από τη σελίδα, ένα σενάριο επιλέγει το επόμενο στάδιο, συχνά μια λήψη που μοιάζει με αβλαβές συμβόλαιο PDF ή συμπιεσμένο.
JOEsecurity αναλυτές/ερευνητές διάσημος και αργότερα εντόπισε το κακόβουλο λογισμικό κατά την εκτέλεση δειγμάτων στο Joe Sandbox Cloud Basic, όπου η πύλη κωδικού πρόσβασης, οι έλεγχοι βάσει χρόνου και η επιπλέον συσκευασία έγιναν ορατές.
Η πλήρης τεχνική τους ανάλυση δείχνει πώς ο φορτωτής περιμένει για ορισμένα χρονικά παράθυρα και στη συνέχεια αποκρυπτογραφεί το πραγματικό του ωφέλιμο φορτίο μόνο στη μνήμη.
Αυτό παρουσιάζει το δέντρο διεργασιών και τις κλήσεις δικτύου που εκθέτουν αυτήν τη συμπεριφορά. Ενώ οι στόχοι κυμαίνονται από μικρές επιχειρήσεις έως μεγάλες παγκόσμιες επιχειρήσεις.
Μηχανισμός μόλυνσης και μυστικές τακτικές
Μόλις το θύμα ανοίξει το ληφθέν δέλεαρ, ένα μικρό σενάριο ή μακροεντολή εκκινεί μια εντολή PowerShell που τραβάει το επόμενο στάδιο από έναν απομακρυσμένο διακομιστή υπό τον έλεγχο του εισβολέα.
Η εντολή χρησιμοποιεί μεγάλες, ασαφείς συμβολοσειρές, μεταβλητές περιβάλλοντος και κωδικοποιημένα μπλοκ για να κρύψει την πρόθεσή της από απλούς κανόνες.
.webp.jpeg)
Ένα κοινό μοτίβο που εμφανίζεται σε αυτήν την καμπάνια, όπου το PowerShell ξεκινά με ένα κωδικοποιημένο ωφέλιμο φορτίο και ένα κρυφό παράθυρο.
powershell -EncodedCommand $enc -WindowStyle Hidden -ExecutionPolicy BypassΜετά την αποκωδικοποίηση, το σενάριο φορτώνει ένα στοιχείο .NET απευθείας στη μνήμη, το ξεκινά ως παιδί μιας αξιόπιστης διαδικασίας όπως το explorer.exe και εισάγει το κύριο ωφέλιμο φορτίο σε αυτόν τον κεντρικό υπολογιστή.
Στη συνέχεια, το κακόβουλο λογισμικό ορίζει την ελαφριά παραμονή προσθέτοντας ένα κλειδί Run στο μητρώο ή μια προγραμματισμένη εργασία που καλεί το σενάριο με έναν νέο κωδικό πρόσβασης.
Επειδή οι περισσότερες εργασίες γίνονται στη μνήμη και μέσα σε αξιόπιστους κεντρικούς υπολογιστές, τα ισχυρά αρχεία καταγραφής τελικών σημείων και η παρακολούθηση δικτύου είναι ζωτικής σημασίας για τον εντοπισμό αυτής της επίθεσης με θέμα το DocuSign.
