Χάκερς με οικονομικά κίνητρα που χρησιμοποιούν συσκευές USB για αρχική μόλυνση, έχουν εντοπιστεί να καταχρώνται νόμιμες διαδικτυακές πλατφόρμες, όπως το GitHub, το Vimeo και το Ars Technica, για τη φιλοξενία κωδικοποιημένων φορτίων που ενσωματώνονται σε φαινομενικά αθώο περιεχόμενο.

Δείτε επίσης: Microsoft: Προσθέτει μια σελίδα αντιμετώπισης προβλημάτων USB4 στα Windows 11

Οι επιτιθέμενοι κρύβουν αυτά τα φορτία, τοποθετώντας τα στα προφίλ των χρηστών σε φόρουμ τεχνολογικών νέων ιστότοπων ή στις περιγραφές βίντεο σε πλατφόρμες φιλοξενίας πολυμέσων.

Αυτά τα φορτία δεν απειλούν τους χρήστες που επισκέπτονται αυτές τις ιστοσελίδες, καθώς είναι απλό κείμενο. Ωστόσο, όταν ενσωματώνονται στην αλυσίδα επιθέσεων της εκστρατείας, είναι κρίσιμα για τη λήψη και εκτέλεση κακόβουλου λογισμικού σε επιθέσεις.

Οι χάκερς που ευθύνονται για αυτή την εκστρατεία παρακολουθούνται από την Mandiant ως UNC4990 και είναι ενεργοί από το 2020, στοχεύοντας κυρίως χρήστες στην Ιταλία.

Η επίθεση ξεκινά όταν τα θύματα κάνουν διπλό κλικ σε ένα κακόβουλο αρχείο συντόμευσης LNK σε ένα USB drive. Δεν είναι γνωστό πώς οι κακόβουλες USB συσκευές φθάνουν στα επιλεγμένα θύματα για να ξεκινήσουν την αλυσίδα επίθεσης.

Κατά την εκτέλεση της συντόμευσης, εκτελείται ένα PowerShell script με το όνομα explorer.ps1, το οποίο αποκωδικοποιεί έναν μεσολαβητή φορτίο που αντιστοιχεί σε ένα URL που χρησιμοποιείται για το κατέβασμα και την εγκατάσταση του κακόβουλου λογισμικού με την ονομασία ‘EMPTYSPACE‘.

Αυτά τα ενδιάμεσα φορτία είναι αλφαριθμητικά που μετατρέπονται σε μια διεύθυνση URL για να κατεβάσουν το επόμενο φορτίο: EMPTYSPACE.

Οι χάκερς της UNC4990 δοκίμασαν αρκετές προσεγγίσεις για τη φιλοξενία ενδιάμεσων φορτίων, αρχικά χρησιμοποιώντας κωδικοποιημένα αρχεία κειμένου στο GitHub και το GitLab και αργότερα αλλάζοντας σε καταχρηστική χρήση του Vimeo και του Ars Technica για τη φιλοξενία κωδικοποιημένων με Base64 και κρυπτογραφημένων με AES φορτίων συμβολοσειρών.

Δείτε ακόμα: Η Microsoft δοκιμάζει την Υποστήριξη USB 80Gbps και το Copilot στα Windows 11

Σύμφωνα με την Mandiant, οι επιτιθέμενοι δεν εκμεταλλεύονται μια ευπάθεια σε αυτούς τους ιστότοπους, αλλά απλώς χρησιμοποιούν κανονικά χαρακτηριστικά του ιστότοπου, όπως μια σελίδα Σχετικά σε ένα προφίλ φόρουμ του Ars Technica ή μια περιγραφή βίντεο στο Vimeo, για να φιλοξενήσουν κρυφά το ασαφές φορτίο χωρίς να το υποψιαστεί κανείς.

Επιπλέον, αυτά τα φορτία δεν απειλούν άμεσα τους επισκέπτες των καταχρασμένων ιστότοπων, καθώς απλά αποτελούν ακίνδυνες συμβολοσειρές κειμένου και όλες οι περιπτώσεις που καταγράφηκαν από την Mandiant έχουν αφαιρεθεί από τις επηρεαζόμενες ενδιάμεσες πλατφόρμες.

Η πλεονεκτική πρακτική της φιλοξενίας των φορτίων σε νόμιμες και αξιόπιστες πλατφόρμες είναι ότι είναι ότι θεωρούνται έμπιστες από τα συστήματα ασφαλείας, μειώνοντας την πιθανότητα να επισημανθούν ως ύποπτες.

Επιπλέον, οι δράστες απειλών επωφελούνται από τις ανθεκτικές πλατφόρμες παράδοσης περιεχομένου και απολαμβάνουν αντοχή σε απομαγνητισμούς.

Η ενσωμάτωση των φορτίων στο εσωτερικό νόμιμου περιεχομένου και η ανάμειξή τους με μεγάλες όγκους νόμιμης κυκλοφορίας καθιστούν δυσκολότερο να εντοπιστεί και να αφαιρεθεί ο κακόβουλος κώδικας. Ακόμη και τότε, οι επιτιθέμενοι μπορούν εύκολα να το επανεισάγουν σε μια διαφορετική πλατφόρμα που υποστηρίζει δημόσια ορατά σχόλια ή προφίλ.

Δείτε επίσης: Δοκιμάζουμε το νέο Apple Pencil με USB-C

Πώς μπορεί κανείς να προστατευτεί από τα USB malware payloads;

Για να προστατευτείτε από τα USB malware payloads, θα πρέπει πρώτα να είστε προσεκτικοί με τα USB που χρησιμοποιείτε. Μην χρησιμοποιείτε USB sticks που βρίσκετε ή που δεν γνωρίζετε την προέλευσή τους.

Επιπλέον, χρησιμοποιήστε λογισμικό ασφαλείας που παρέχει προστασία σε πραγματικό χρόνο και περιλαμβάνει ανίχνευση malware. Αυτό θα μπορούσε να σας βοηθήσει να ανακαλύψετε και να απομακρύνετε τυχόν επιθέσεις malware πριν προκαλέσουν ζημιά.

Επιπρόσθετα, απενεργοποιήστε την αυτόματη εκτέλεση στον υπολογιστή σας. Πολλά USB malware payloads εξαρτώνται από την αυτόματη εκτέλεση για να μολύνουν έναν υπολογιστή.

Τέλος, κρατήστε το λειτουργικό σύστημα και το λογισμικό ασφαλείας σας ενημερωμένα. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις για τρωτά σημεία που μπορεί να εκμεταλλευτεί το malware.

Πηγή: bleepingcomputer