Οι ερευνητές της IBM X-Force ανακάλυψαν μια νέα καμπάνια που στοχεύει οργανισμούς με ψεύτικα επαγγελματικά email τα οποία μεταφέρουν παραλλαγές του απομακρυσμένης NetWire πρόσβασης Trojan (RAT).

Το RAT είναι κρυμμένο μέσα σε ένα αρχείο IMG, το οποίο είναι μια επέκταση αρχείου που χρησιμοποιείται από το software απεικόνισης δίσκων. Δεδομένου ότι πολλά συνημμένα μπορούν να αποκλειστούν αυτόματα από τα email security controls, οι spammers συχνά επιλέγουν προσεκτικά τον τύπο των επεκτάσεων αρχείων που χρησιμοποιούν στα μηνύματα malspam και ανακατεύουν τους τύπους αρχείων που αποκρύπτουν το malware. Η ανάλυση του X-Force δείχνει ότι τα email που παρέχονται από το NetWire RAT σε αυτήν την καμπάνια αποστέλλονται από ένα μικρό αριθμό μοναδικών αποστολέων που υποτίθεται ότι βρίσκονται στη Γερμανία.

Το NetWire RAT είναι ένα κακόβουλο εργαλείο που εμφανίστηκε το 2012. Αυτό το κακόβουλο λογισμικό πολλαπλών πλατφορμών υφίσταται σε διάφορους κύκλους αναβάθμισης και εντοπίστηκε σε διαφορετικούς τύπους επιθέσεων. Το NetWire RAT μπορεί εύκολα να αγοραστεί στο Dark Web, πράγμα που σημαίνει ότι μπορεί να χρησιμοποιηθεί από οποιονδήποτε.

Δεν πρόκειται για την πρώτη φορά που το NetWire χρησιμοποιείται στις ψεύτικες επιχειρηματικές επικοινωνίες. Σε μια προηγούμενη εκστρατεία που κυκλοφορούσε τον Σεπτέμβριο του 2019, οι hackers έστελναν ψεύτικα αρχεία PDF σε δυνητικά θύματα, αναφέροντας ότι πρόκειται για εμπορικό τιμολόγιο. Το πραγματικό αρχείο ήταν ένα εκτελέσιμο αρχείο που εγκατέστησε το NetWire RAT αμέσως μόλις έγινε κλικ στο αρχείο.

Extracting ενός RAT

Σε ένα από τα δείγματα που εξετάσαμε, ένα αρχείο IMG που ονομάζεται “Sales_Quotation_SQUO00001760.img” ήταν ένας τρόπος για τους εισβολείς να αρχειοθετήσουν το malware μέχρι να γίνει κλικ στο αρχείο. Από την στιγμή που ανοιγόταν έκανε extract ένα εκτελέσιμο αρχείο: το NetWire RAT.

Αμέσως μετά από αυτή την αρχική εκτέλεση, το malware επέμενε μέσω ενός προγραμματισμένου task, μια κοινή τακτική για πολλούς προγραμματιστές κακόβουλου λογισμικού. Τα προγραμματισμένα task επιτρέπουν στο κακόβουλο λογισμικό να ελέγχει ότι είναι ενεργό ή να κάνει επανεκκίνηση με επαναλαμβανόμενο τρόπο.

Επιπλέον, δημιουργούνται registry keys για να αποθηκεύουν τη διεύθυνση IP του command-and-control (C & C) και να αποθηκεύουν τα δεδομένα που χρησιμοποιεί το malware για να λειτουργούν στη μολυσμένη συσκευή. Η επικοινωνία με το C&C server εκτελείται μέσω της θύρας TCP 3012.

Τι είναι το NetWire RAT Up To;

Δεδομένου ότι αυτό το malware μπορεί να χρησιμοποιηθεί από οποιαδήποτε ομάδα με οποιοδήποτε κίνητρο, η απόδοση είναι μάλλον μάταιη.

Κοιτώντας σε μερικά κρυπτογραφημένα strings που βρέθηκαν στη μνήμη, εντοπίσαμε μια σειρά από strings σε μια ξένη γλώσσα, η οποία φαίνεται να είναι ινδονησιακή. Παρακάτω είναι ένα screenshot από το Google Translate που δείχνει μια πρόχειρη μετάφραση των διαφόρων αναγνωρισμένων strings. Πολλοί από αυτούς τους όρους συνδέονται είτε με ένα μήνυμα σύνδεσης, με επιλογές πληρωμής, δωρεές ή με τον όρο ” afterlife savings”:

Ο όρος αυτός μπορεί να αφορά μόνιμη ασφάλιση ζωής για λόγους συνταξιοδότησης που προσφέρεται σε ορισμένα μέρη του κόσμου.

Από τη συνολική εμφάνιση του, αυτή η καμπάνια έχει οικονομικά κίνητρα και πιθανότατα πραγματοποιείται από απατεώνες που προσπαθούν να κλέψουν τους κατόχους λογαριασμών με διάφορους τρόπους. Παρόλο που δεν έχουμε δει την πλήρη ροή μετά τη μόλυνση, μπορεί να ακολουθηθεί από απάτη τύπου 419 ή να περιλαμβάνει επίσης σελίδες social engineering ή phishing για να παρασύρει το θύμα να εισάγει τα credentials του τραπεζικού λογαριασμού του και να επιτρέπει στους εισβολείς να αναλάβουν λογαριασμούς.

Οι πρόσφατες καμπάνιες στο φυσικό περιβάλλον δείχνουν ότι το NetWire RAT δεν είναι το μοναδικό malware που παρέχεται μέσω επεκτάσεων αρχείων απεικόνισης δίσκου. Αυτό ήταν τάση στα τέλη του 2019, πιθανώς επειδή οι ίδιοι φορείς εκμετάλλευσης ανεπιθύμητων αλληλογραφίας διένειμαν RAT για διαφορετικούς φορείς απειλής.

Καταστρέφεται το λογισμικό κακόβουλου λογισμικού

Πολλές φορές, ως επαγγελματίες ασφαλείας, ακούμε για τις μεγαλύτερες και πιο επιζήμιες παραβιάσεις δεδομένων, επιθέσεις ransomware και καταστροφικές εκστρατείες, οι οποίες συχνά εκτελούνται από εξελιγμένες συμμορίες εγκλημάτων στον κυβερνοχώρο. Όμως, ενώ τα περισσότερα οικονομικά εγκληματικά εγκλήματα στον κυβερνοχώρο είναι έργο μεγαλύτερων ομάδων οργανωμένου εγκλήματος, οι μικρότερες ομάδες εξακολουθούν να ασχολούνται με τις επιχειρήσεις και έχουν ως στόχο να εισβάλουν σε τραπεζικούς λογαριασμούς και να κλέψουν χρήματα χρησιμοποιώντας εμπορικά διαθέσιμους κακόβουλους λογιστές καθ ‘όλη τη διάρκεια του έτους.

Οι δείκτες συμβιβασμού (IoC) και άλλες πληροφορίες σχετικά με τον τρόπο προστασίας των δικτύων από το NetWire RAT υπάρχουν στο IBM X-Force Exchange.