Κακόβουλα πακέτα NuGet με περισσότερες από 2 εκατομμύρια λήψεις, παριστάνουν πορτοφόλια κρυπτονομισμάτων, ανταλλακτήρια και βιβλιοθήκες Discord για να μολύνουν τους προγραμματιστές με το SeroXen RAT.

Δείτε επίσης: Το ZenRAT malware εντοπίστηκε σε μια ψεύτικη σελίδα Bitwarden

Το NuGet είναι ένα εργαλείο διαχείρισης πακέτων και σύστημα διανομής λογισμικού ανοιχτού κώδικα, που λειτουργεί σε διακομιστές φιλοξενίας πακέτων για να επιτρέπει στους χρήστες να τα κατεβάζουν και να τα χρησιμοποιούν για τα έργα ανάπτυξής τους.

Τα κακόβουλα πακέτα που ανέβηκαν στο NuGet από έναν χρήστη με το όνομα ‘Disti‘ ανακαλύφθηκαν από τους ερευνητές της Phylum, οι οποίοι δημοσίευσαν πρόσφατα μία αναφορά προειδοποίησης σχετικά με το νέο κίνδυνο.

Και τα έξι πακέτα στο αποθετήριο του Disti περιέχουν το ίδιο αρχείο XML που κατεβάζει το ‘x.bin‘, ένα batch file των Windows που εκτελεί κακόβουλες δραστηριότητες στο παραβιασμένο σύστημα. Τα πακέτα αντιγράφουν δημοφιλή κρυπτονομίσματα, ανταλλακτήρια και πλατφόρμες, παρουσιάζοντας ακόμα και τα επίσημα λογότυπα για να εξαπατήσουν τους χρήστες.

Τα έξι πακέτα που ανέβασε ο Disti στο NuGet, και που είναι ακόμα διαθέσιμα αυτές, είναι:

  • Kraken.Exchange – 635k downloads
  • KucoinExchange.Net – 635k downloads
  • SolanaWallet – 600k downloads
  • Modern.Winform.UI – 100k downloads
  • Monero – 100k downloads
  • DiscordsRpc – 75k downloads

Πιστεύεται ότι οι αριθμοί λήψης είναι υπερβολικοί και ενδέχεται να μην αντιπροσωπεύουν το εύρος αυτών των πακέτων στην κοινότητα του NuGet. Παρόλα αυτά, αυτές οι μετρήσεις λήψεων βελτιώνουν αποτελεσματικά την αντιληπτή αξιοπιστία των πακέτων, καθώς τα καθιστούν να φαίνονται γνήσιες εκδόσεις των εφαρμογών ή πλατφορμών που υπονοούνται από τα ονόματά τους. Ενδέχεται ο Disti να έχει διογκώσει τα στοιχεία λήψης χρησιμοποιώντας αυτοματοποιημένα σενάρια, botnets, εικονικές μηχανές ή cloud containers που λαμβάνουν ένα πακέτο πολλές φορές.

Δείτε ακόμα: Ψεύτικο WinRAR proof-of-concept exploit κάνει drop το VenomRAT malware

Τα πακέτα περιλαμβάνουν δύο σενάρια PowerShell που εκτελούν αρχεία CMD και Batch κατά την εγκατάσταση στον υπολογιστή του θύματος. Το σενάριο κατεβάζει ένα αρχείο από μια εξωτερική διεύθυνση URL, το αποθηκεύει ως “.cmd” σε έναν προσωρινό κατάλογο και το εκτελεί χωρίς να εμφανίζει τίποτα στην οθόνη. Αυτό το σενάριο ανακτά ένα άλλο αρχείο με το όνομα ‘x.bin‘, το οποίο, παρόλο που έχει αυτήν την ονομασία, είναι ένα πακέτο εντολών με πάνω από 12.000 γραμμές, και έχει ως σκοπό να κατασκευάσει και να εκτελέσει ένα άλλο σενάριο PowerShell. Το τελικό σενάριο διαβάζει τμήματα από το αρχείο cmd για να αποκρυπτογραφήσει και αποσυμπιέσει έναν κωδικοποιημένο φορτίο από μέσα του, το οποίο η Phylum αναφέρει ότι είναι το SeroXen RAT.

Αυτός ο τροποποιημένος κατάλογος απομακρυσμένης πρόσβασης παρουσιάζει πλούσια χαρακτηριστικά και διαφημίζεται ως νόμιμο πρόγραμμα, πωλείται έναντι 15 ευρώ ανά μήνα ή 60 ευρώ για πάντα.

Τον Μάιο, η AT&T ανέφερε ότι το SeroXen RAT κερδίζει δημοτικότητα μεταξύ των κυβερνο-εγκληματιών που εκτιμούν το χαμηλό ποσοστό ανίχνευσης και τις ισχυρές δυνατότητές του.

Δείτε επίσης: Το SeroXen RAT malware στοχεύει gamers

Για να προστατευθείτε από την επίθεση του SeroXen RAT, συνιστάται να λάβετε σοβαρά υπόψη σας κάποια βασικά μέτρα ασφαλείας, τα οποία περιλαμβάνουν: 

  • Ενημέρωση Λογισμικού: Βεβαιωθείτε ότι όλα τα συστήματα και τα εγκατεστημένα λογισμικά είναι ενημερωμένα, διότι τα ευπαθή σημεία ασφαλείας συχνά εκμεταλλεύονται από τα κακόβουλα λογισμικά.
  • Antivirus Λογισμικό: Χρησιμοποιήστε ένα αξιόπιστο antivirus πρόγραμμα που διαθέτει ισχυρές δυνατότητες ανίχνευσης και απομάκρυνσης των RAT.
  • Περιορισμός Δικαιωμάτων: Περιορίστε τα δικαιώματα των χρηστών στον ελάχιστο απαραίτητο βαθμό για να εμποδίσετε τους κακόβουλους χρήστες να εκμεταλλευτούν το σύστημα.
Τα μέτρα προστασίας σε περίπτωση εκτέλεσης SeroXen RAT

 Εάν υποθέσουμε ότι ένα σύστημα έχει ήδη επηρεαστεί από το SeroXen RAT, τότε είναι απαραίτητο να ακολουθηθούν τα εξής βήματα: 

  1. Ανίχνευση και Απομάκρυνση: Χρησιμοποιήστε ένα αξιόπιστο antivirus πρόγραμμα για να διαγνώσετε και να απαλλάξετε το σύστημα από το RAT.
  2. Έλεγχος Δικτύου: Εξετάστε το δίκτυο σας για περαιτέρω ενδείξεις επίθεσης ή διαρροής δεδομένων.
  3. Επαναφορά Κωδικών: Αλλάξτε όλους τους κωδικούς πρόσβασης που μπορεί να έχουν παραβιαστεί.

Αξίζει να σημειωθεί ότι η διαχείριση ενός RAT είναι μια διαδικασία πολλαπλών βημάτων που απαιτεί τη λήψη της κατάλληλης τεχνικής υποστήριξης. Είναι σημαντικό να κατανοείτε ότι δεν υπάρχει “μαγικό ραβδί” που να μπορεί να αναιρέσει μια επίθεση RAT απλά από τη μία μέρα στην άλλη.

Πηγή: bleepingcomputer