Ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν το Evasive SquidLoader, ένα νέο loader κακόβουλο λογισμικό (malware) που αποφεύγει τον εντοπισμό και εξαπλώνεται μέσω εκστρατειών phishing που στοχεύουν κινέζικους οργανισμούς.
Η AT&T LevelBlue Labs εντόπισε το κακόβουλο λογισμικό στα τέλη Απριλίου 2024 και ανέφερε ότι ενσωματώνει χαρακτηριστικά σχεδιασμένα για να εμποδίζουν τόσο τη στατική όσο και τη δυναμική ανάλυση, καθιστώντας τον εντοπισμό δύσκολο.
Διαβάστε περισσότερα: Void Arachne: Χρησιμοποιεί Deepfake και AI για να διαδώσει κακόβουλα VPN
Οι επιθέσεις ξεκινούν με μηνύματα phishing που περιλαμβάνουν συνημμένα που μεταμφιέζονται σε έγγραφα του Microsoft Word. Στην πραγματικότητα, είναι δυαδικά αρχεία που ανοίγουν το δρόμο για την εκτέλεση του κακόβουλου λογισμικού, το οποίο στη συνέχεια κατεβάζει φορτία δεύτερου σταδίου από έναν απομακρυσμένο server, όπως το Cobalt Strike.
«Αυτοί οι loaders διαθέτουν εξελιγμένους μηχανισμούς αποφυγής και παραπλάνησης που τους βοηθούν να παραμένουν απαρατήρητοι και να δυσκολεύουν την ανάλυση», δήλωσε ο ερευνητής ασφάλειας Fernando Dominguez. “Το shellcode φορτώνεται επίσης στην ίδια διαδικασία, αποφεύγοντας έτσι την εγγραφή του ωφέλιμου φορτίου στο δίσκο και μειώνοντας τον κίνδυνο εντοπισμού.”
Ορισμένες από τις τεχνικές αποφυγής που χρησιμοποιεί το SquidLoader περιλαμβάνουν κρυπτογραφημένα τμήματα κώδικα, άσκοπο και αχρησιμοποίητο κώδικα, συσκότιση του Control Flow Graph (CFG), ανίχνευση εντοπισμού σφαλμάτων και εκτέλεση άμεσων κλήσεων συστήματος αντί για κλήσεις των API των Windows NT.
Το loader κακόβουλου λογισμικού έχει γίνει δημοφιλές για παράγοντες απειλών που επιθυμούν να παραδώσουν και να εκκινήσουν πρόσθετα ωφέλιμα φορτία σε παραβιασμένους κεντρικούς υπολογιστές, παρακάμπτοντας ταυτόχρονα την άμυνα κατά των ιών και άλλα μέτρα ασφαλείας. Πέρυσι, η Aon Stroz Friedberg ανέλυσε λεπτομερώς ένα loader, γνωστό ως Taurus Loader, ο οποίος έχει χρησιμοποιηθεί για τη διανομή του Taurus information stealer καθώς και του AgentVX, ενός trojan με δυνατότητες εκτέλεσης περισσότερου κακόβουλου λογισμικού και ρύθμισης επιμονής μέσω αλλαγών στο μητρώο των Windows και συλλογής δεδομένων.
Δείτε σχετικά: Νέο malware στοχεύει εκτεθειμένα Docker API για εξόρυξη κρυπτονομισμάτων
Η ανάπτυξη συνεχίζεται καθώς μια νέα, εις βάθος ανάλυση του φορτωτή κακόβουλου λογισμικού και της κερκόπορτας γνωστής ως PikaBot υποδεικνύει ότι το λογισμικό αναπτύσσεται ενεργά από τους προγραμματιστές του από την εμφάνισή του τον Φεβρουάριο του 2023.
“Το κακόβουλο λογισμικό χρησιμοποιεί προηγμένες anti-analysis τεχνικές για να αποφύγει τον εντοπισμό και να δυσχεράνει την ανάλυση, περιλαμβάνοντας ελέγχους συστήματος, έμμεσες κλήσεις συστήματος, κρυπτογράφηση επόμενου σταδίου και συμβολοσειρών και δυναμική ανάλυση API”, δήλωσε ο Sekoia. “Οι πρόσφατες ενημερώσεις στο κακόβουλο λογισμικό έχουν βελτιώσει περαιτέρω τις δυνατότητές του, κάνοντάς το ακόμη πιο δύσκολο στον εντοπισμό και την αντιμετώπιση.”
Παράλληλα, ευρήματα από το BitSight αποκαλύπτουν ότι η υποδομή που σχετίζεται με το loader κακόβουλο λογισμικό Latrodectus, τέθηκε εκτός σύνδεσης μετά από την επιχείρηση επιβολής του νόμου με την ονομασία Operation Endgame. Στη διάρκεια αυτής της επιχείρησης, περισσότεροι από 100 botnet servers τέθηκαν εκτός λειτουργίας, συμπεριλαμβανομένων εκείνων που συνδέονται με τα IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee και TrickBot.
Διαβάστε ακόμη: Απάτη της Markopolo στοχεύει χρήστες ψηφιακών νομισμάτων (crypto)
Η εταιρεία κυβερνοασφάλειας ανέφερε ότι εντόπισε σχεδόν 5.000 διαφορετικά θύματα σε 10 ξεχωριστές εκστρατείες. Η πλειοψηφία των θυμάτων βρέθηκε στις ΗΠΑ, το Ηνωμένο Βασίλειο, την Ολλανδία, την Πολωνία, τη Γαλλία, την Τσεχία, την Ιαπωνία, την Αυστραλία, τη Γερμανία και τον Καναδά.
Πηγή: thehackernews
 που αποφεύγει τον εντοπισμό και εξαπλώνεται μέσω εκστρατειών phishing που στοχεύουν κινέζικους οργανισμούς.){kind=link}