Η διαβόητη ομάδα κυβερνοεγκληματικών Black Cat επανεμφανίστηκε επιθετικά με μια εξελιγμένη καμπάνια κακόβουλου λογισμικού που χρησιμοποιεί προηγμένες τεχνικές βελτιστοποίησης μηχανών αναζήτησης για τη διανομή πλαστών εκδόσεων δημοφιλούς λογισμικού ανοιχτού κώδικα.
Με το χειρισμό των αλγορίθμων των μηχανών αναζήτησης, η συμμορία τοποθετεί με επιτυχία σχολαστικά κατασκευασμένους ιστότοπους ηλεκτρονικού ψαρέματος για εργαλεία όπως το Notepad++ στην κορυφή των αποτελεσμάτων αναζήτησης λέξεων-κλειδιών.
Αυτή η στρατηγική τοποθέτηση εκμεταλλεύεται αδίστακτα την εμπιστοσύνη των χρηστών σε γνωστές πλατφόρμες, οδηγώντας τα ανυποψίαστα θύματα να κατεβάζουν κακόβουλα προγράμματα εγκατάστασης που συνοδεύονται κρυφά με επικίνδυνα κερκόπορτα τηλεχειριστηρίου ικανά να κλέψουν ευαίσθητα δεδομένα κεντρικού υπολογιστή.
Όταν οι χρήστες πλοηγούνται σε αυτούς τους δόλιους τομείς, αντιμετωπίζουν μια εξαιρετικά ρεαλιστική διεπαφή που αντικατοπτρίζει τα νόμιμα αποθετήρια λογισμικού, τα οποία συχνά διαθέτουν πολλά άρθρα εκμάθησης για την τεχνητή ενίσχυση της αξιοπιστίας.
.webp.jpeg "Ομάδα χάκερ Black Cat με Fake Notepad++ Sites Εγκαταστήστε κακόβουλο λογισμικό για κλοπή δεδομένων")
Η παραπλανητική διαδικασία λήψης περιλαμβάνει σκόπιμα πολλαπλές ανακατευθύνσεις, οδηγώντας τελικά τον χρήστη σε μια ψεύτικη σελίδα με στυλ που μοιάζει με το GitHub.
Αυτή η διαστρωμάτωση νομιμότητας έχει σχεδιαστεί για να μειώνει αποτελεσματικά την υποψία του θύματος πριν από την παράδοση του ωφέλιμου φορτίου λογισμικού στο κεντρικό σύστημα.
αναλυτές της Weixin διάσημος ότι αυτή η αχαλίνωτη καμπάνια παραβίασε με επιτυχία περίπου 277.800 διακομιστές αποτελεσματικά μεταξύ των αρχών και των τέλους Δεκεμβρίου 2025.
Ο πρωταρχικός στόχος του κακόβουλου λογισμικού παραμένει η κρυφή διείσδυση πολύ ευαίσθητων πληροφοριών, συμπεριλαμβανομένων των δεδομένων χρήστη του προγράμματος περιήγησης, των αρχείων καταγραφής πληκτρολογήσεων σε πραγματικό χρόνο και των περιεχομένων του προχείρου.
Αυτή η εκτεταμένη κλοπή δεδομένων εγκυμονεί σοβαρούς και άμεσους κινδύνους ασφάλειας τόσο για μεμονωμένους χρήστες όσο και για μεγαλύτερες οργανωτικές υποδομές που εκτίθενται στην απειλή.
Μηχανισμός μόλυνσης και εκτέλεσης
Η διαδικασία μόλυνσης του κακόβουλου λογισμικού είναι τεχνικά περίπλοκη. Κατά την αρχική εκτέλεση, το πρόγραμμα εγκατάστασης δημιουργεί μια παραπλανητική συντόμευση στην επιφάνεια εργασίας του θύματος, η οποία οδηγεί απευθείας στο σημείο εισόδου της κερκόπορτας αντί για την πραγματική εφαρμογή.
Το κακόβουλο λογισμικό χρησιμοποιεί έξυπνα μια στρατηγική εκτέλεσης λευκού και μαύρου, χρησιμοποιώντας ένα καλοήθη εκτελέσιμο αρχείο για να φορτώσει ένα κακόβουλο στοιχείο DLL.
Αυτό το DLL είναι ειδικά επιφορτισμένο με τον εντοπισμό και την αποκρυπτογράφηση ενός κρυφού κρυπτογραφημένου αρχείου που ονομάζεται M9OLUM4P.1CCE. Ενώ το κακόβουλο αρχείο DLL αποκρυπτογραφεί και εκτελεί κρυπτογραφημένο αρχείο.
.webp.jpeg "Ομάδα χάκερ Black Cat με Fake Notepad++ Sites Εγκαταστήστε κακόβουλο λογισμικό για κλοπή δεδομένων")
Μετά την επιτυχημένη διαδικασία αποκρυπτογράφησης, το κακόβουλο αρχείο PE φορτώνεται απευθείας στη μνήμη του συστήματος μέσω ανάκλασης, μια τακτική που βοηθά στην παράκαμψη των τυπικών μηχανισμών ανίχνευσης που βασίζονται σε δίσκο.
Το κακόβουλο λογισμικό διασφαλίζει τη μακροζωία του δημιουργώντας συγκεκριμένα στοιχεία εκκίνησης μητρώου και ξεκινά αμέσως την επικοινωνία με τον διακομιστή εντολών και ελέγχου του, που κωδικοποιείται ως sbido.com:2869.
Αυτή η επίμονη σύνδεση διευκολύνει τη συνεχή μετάδοση κλεμμένων δεδομένων, ενώ η IP ανάλυσης του τομέα ενημερώνεται συχνά από τους εισβολείς για να αποφύγουν τα στατικά μέτρα αποκλεισμού που βασίζονται σε δίκτυο.
