Ερευνητές στον τομέα της κυβερνοασφάλειας ανέδειξαν εκτεταμένες εκστρατείες phishing που στοχεύουν μικρές και μεσαίες επιχειρήσεις (SMB) στην Πολωνία και έχουν οδηγήσει στην ανάπτυξη πολλών οικογενειών κακόβουλου λογισμικού, όπως το Agent Tesla, το Formbook και το Remcos RAT.

Σύμφωνα με την εταιρεία κυβερνοασφάλειας ESET, άλλες περιοχές που πλήττονται από αυτές τις επιθέσεις περιλαμβάνουν την Ιταλία και τη Ρουμανία. «Οι χάκερς χρησιμοποίησαν προηγουμένως παραβιασμένους λογαριασμούς email και servers εταιρειών, όχι μόνο για τη διάδοση κακόβουλων email, αλλά και για τη φιλοξενία κακόβουλου λογισμικού και τη συλλογή κλεμμένων δεδομένων», δήλωσε ο ερευνητής της ESET, Jakub Kaloč, σε report που δημοσιεύθηκε σήμερα.

Διαβάστε επίσης: Stargazer Goblin: Δημιουργεί ψεύτικους λογαριασμούς GitHub για εξάπλωση malware

Η εκστρατεία αυτή, ξεχωρίζει για τη χρήση ενός κακόβουλου loader που ονομάζεται DBatLoader (γνωστός και ως ModiLoader και NatsoLoader) για να παραδώσουν payloads. Η σλοβακική εταιρεία κυβερνοασφάλειας επισημαίνει ότι αυτή η προσέγγιση υποδηλώνει μια στροφή από τις προηγούμενες επιθέσεις που παρατηρήθηκαν το δεύτερο εξάμηνο του 2023, οι οποίες χρησιμοποιούσαν ένα cryptors-as-a-service (CaaS) με την ονομασία AceCryptor για τη διάδοση του Remcos RAT (γνωστού και ως Rescoms).

Κατά το δεύτερο εξάμηνο του 2023, το Rescoms αναδείχθηκε ως η πιο διαδεδομένη οικογένεια κακόβουλου λογισμικού που διανεμήθηκε μέσω του AceCryptor, όπως ανέφερε η ESET τον Μάρτιο του 2024. Περισσότερες από τις μισές επιθέσεις καταγράφηκαν στην Πολωνία, ακολουθούμενη από τη Σερβία, την Ισπανία, τη Βουλγαρία και τη Σλοβακία.

Οι επιθέσεις ξεκινούσαν συνήθως από phishing emails που περιλάμβαναν συνημμένα αρχεία RAR ή ISO με κακόβουλο λογισμικό. Η εκτέλεση αυτών των αρχείων ενεργοποιούσε μια διαδικασία πολλαπλών βημάτων για τη λήψη και την εκκίνηση του trojan. Στις περιπτώσεις όπου επισυνάπτονταν αρχεία ISO, αυτά οδηγούσαν απευθείας στην εκτέλεση του DBatLoader. Αντίθετα, το αρχείο RAR περιείχε μια ασαφή δέσμη ενεργειών Windows, που περιλάμβανε ένα εκτελέσιμο ModiLoader κωδικοποιημένο σε Base64 και μεταμφιεσμένο ως λίστα πιστοποιητικών με κωδικοποίηση PEM.

Το DBatLoader, ένα Delphi-based πρόγραμμα λήψης, έχει σχεδιαστεί κυρίως για τη λήψη και εκκίνηση του επόμενου σταδίου κακόβουλου λογισμικού είτε από το Microsoft OneDrive είτε από παραβιασμένους servers που ανήκουν σε νόμιμες εταιρείες. Ανεξαρτήτως του είδους του κακόβουλου λογισμικού που αναπτύσσεται, το Agent Tesla, το Formbook και το Remcos RAT διαθέτουν ικανότητες συλλογής ευαίσθητων πληροφοριών, επιτρέποντας στους χάκερς να «προετοιμάσουν το έδαφος για τις επόμενες εκστρατείες τους».

Αυτή η εξέλιξη έρχεται καθώς η Kaspersky αποκάλυψε ότι οι μικρομεσαίες επιχειρήσεις στοχοποιούνται ολοένα και περισσότερο από εγκληματίες του κυβερνοχώρου, λόγω της έλλειψης ισχυρών μέτρων κυβερνοασφάλειας και των περιορισμένων πόρων και τεχνογνωσίας.

Δείτε ακόμη: PKfail: Επιτρέπει σε εισβολείς να εγκαταστήσουν UEFI malware

«Οι trojan επιθέσεις παραμένουν η πιο συχνή απειλή στον κυβερνοχώρο, αποδεικνύοντας ότι οι χάκερς συνεχίζουν να στοχεύουν τις μικρομεσαίες επιχειρήσεις και προτιμούν το κακόβουλο λογισμικό από το ανεπιθύμητο», δήλωσε ο Ρώσος προμηθευτής ασφαλείας τον περασμένο μήνα.

«Τα trojan είναι ιδιαίτερα επικίνδυνοι καθώς μιμούνται νόμιμο λογισμικό, γεγονός που καθιστά πιο δύσκολη την ανίχνευση και την αποτροπή τους. Η ευελιξία τους και η ικανότητά τους να παρακάμπτουν τα παραδοσιακά μέτρα ασφαλείας τα καθιστούν ένα ευρέως διαδεδομένο και αποτελεσματικό εργαλείο για τους χάκερς».

Πηγή: thehackernews