Μια εκστρατεία κακόβουλου λογισμικού που ανακαλύφθηκε πρόσφατα χρησιμοποιεί ψεύτικους ιστότοπους λήψης WinRAR για να παραδώσει το επικίνδυνο κακόβουλο λογισμικό Winzipper απευθείας σε ανυποψίαστους χρήστες.
Η επίθεση προέκυψε από συνδέσμους που διανεμήθηκαν σε διάφορους κινεζικούς ιστότοπους, στοχεύοντας χρήστες που προσπαθούν να κατεβάσουν το δημοφιλές εργαλείο συμπίεσης αρχείων από μη επίσημες πηγές.
Αυτό το trojanized πρόγραμμα εγκατάστασης αποτελεί σημαντική απειλή για όποιον αναζητά γρήγορες λύσεις λογισμικού χωρίς να επαληθεύει νόμιμες πηγές λήψης.
Οι εισβολείς εκμεταλλεύονται την ευρέως διαδεδομένη πρακτική λήψης του WinRAR από ιστότοπους τρίτων, συσκευάζοντας επιβλαβή κώδικα μαζί με το πραγματικό πρόγραμμα εγκατάστασης.
Μόλις εκτελεστεί, το κακόβουλο λογισμικό αρχίζει να δημιουργεί προφίλ στο σύστημα προορισμού αποκτώντας πρόσβαση στις πληροφορίες προφίλ των Windows, επιτρέποντάς του να επιλέξει και να αναπτύξει το πιο αποτελεσματικό ωφέλιμο φορτίο για κάθε θύμα.
Αυτή η προσαρμοστική προσέγγιση εξασφαλίζει μέγιστα ποσοστά επιτυχίας σε διαφορετικές διαμορφώσεις υπολογιστών, καθιστώντας την απειλή ιδιαίτερα επικίνδυνη τόσο για το προσωπικό όσο και για το επιχειρηματικό περιβάλλον.
Αναλυτές Malwarebytes αναγνωρισθείς αυτή η περίπλοκη επίθεση μετά την ανακάλυψη του αρχικού ύποπτου αρχείου που είναι κρυμμένο σε πολλαπλά προστατευτικά στρώματα συσκότισης και συμπίεσης κώδικα.
Μηχανισμός μόλυνσης
Ο μηχανισμός μόλυνσης αποκαλύπτει ένα πολύπλοκο σύστημα χορήγησης πολλαπλών σταδίων που έχει σχεδιαστεί ειδικά για να αποφεύγει την ανίχνευση.
Το αρχικό αρχείο, με το όνομα winrar-x64-713scp.zip, περιέχει ένα εκτελέσιμο αρχείο γεμάτο UPX που χρησιμοποιεί σκόπιμες ανωμαλίες στη δομή του για να περιπλέξει την ανάλυση.
.webp.jpeg "Προσοχή στον ψεύτικο ιστότοπο WinRAR που παρέχει κακόβουλο λογισμικό με το πρόγραμμα εγκατάστασης WinRAR")
Όταν αποσυσκευάζεται με εξειδικευμένα εργαλεία, το αρχείο εκθέτει δύο ενσωματωμένα προγράμματα: το νόμιμο πρόγραμμα εγκατάστασης WinRAR και ένα αρχείο που προστατεύεται με κωδικό πρόσβασης με το όνομα setup.hta.
Το αρχείο setup.hta αντιπροσωπεύει το πραγματικό κακόβουλο στοιχείο, το οποίο παραμένει ασαφές μέχρι το χρόνο εκτέλεσης, οπότε αποσυσκευάζεται απευθείας στη μνήμη του συστήματος.
Αυτή η τεχνική μόνιμης μνήμης αποτρέπει απλές μεθόδους ανίχνευσης που βασίζονται σε αρχεία από τον εντοπισμό της απειλής. Κατά τη διάρκεια της δυναμικής ανάλυσης σε απομονωμένα συστήματα, οι ερευνητές ανακάλυψαν ότι το αρχείο δημιουργεί το nimasila360.exe, ένα στοιχείο που σχετίζεται με την οικογένεια κακόβουλου λογισμικού Winzipper.
Μόλις εγκατασταθεί, το Winzipper λειτουργεί ως backdoor trojan, παρέχοντας στους εισβολείς απομακρυσμένη πρόσβαση σε παραβιασμένα μηχανήματα.
Το κακόβουλο λογισμικό επιτρέπει την κλοπή δεδομένων, τον μη εξουσιοδοτημένο έλεγχο συστήματος και την εγκατάσταση δευτερευόντων ωφέλιμων φορτίων κακόβουλου λογισμικού, ενώ όλα αυτά εμφανίζονται ως νόμιμο βοηθητικό πρόγραμμα αρχειοθέτησης αρχείων. Οι χρήστες συνήθως δεν γνωρίζουν τη μόλυνση μέχρι να προκληθεί σημαντική ζημιά.
Στους παραβιασμένους τομείς περιλαμβάνονται τα winrar-tw.com, winrar-x64.com και winrar-zip.com, όλα προς το παρόν αποκλεισμένα από συστήματα προστασίας Malwarebytes.
Οι χρήστες θα πρέπει να κάνουν λήψη του WinRAR αποκλειστικά από επίσημες πηγές και να διατηρούν την τρέχουσα προστασία κατά του κακόβουλου λογισμικού για να αποτρέψουν τη μόλυνση από αυτές τις ψεύτικες καμπάνιες προγραμμάτων εγκατάστασης.
