Η ομάδα ransomware Hunters International στοχεύει εργαζόμενους στον τομέα του IT με ένα νέο trojan απομακρυσμένης πρόσβασης C# (RAT) που ονομάζεται SharpRhino, για να παραβιάσει τα εταιρικά δίκτυα.

Δείτε επίσης: Gh0st RAT Trojan: Στοχεύει Κινέζους χρήστες Windows μέσω Fake Site Chrome

Το κακόβουλο λογισμικό βοηθά την Hunters International να επιτύχει την αρχική μόλυνση, να αυξήσει τα προνόμιά της στα παραβιασμένα συστήματα, να εκτελέσει εντολές PowerShell και τελικά να αναπτύξει το ωφέλιμο φορτίο ransomware.

Οι ερευνητές της Quorum Cyber ​​που ανακάλυψαν το νέο κακόβουλο λογισμικό αναφέρουν ότι διαδίδεται από έναν ιστότοπο με τυπογραφική καταγραφή, που υποδύεται τον ιστότοπο του Angry IP Scanner, ένα νόμιμο εργαλείο δικτύωσης που χρησιμοποιείται από επαγγελματίες πληροφορικής.

Η Hunters International είναι μια ομάδα ransomware που ξεκίνησε στα τέλη του 2023 και επισημάνθηκε ως πιθανή μετονομασία της Hive λόγω των ομοιοτήτων τους στον κώδικα. Στα αξιοσημείωτα θύματά της συγκαταλέγονται ο εργολάβος του Ναυτικού των ΗΠΑ Austal USA, ο ιαπωνικός γίγαντας οπτικών Hoya, η Integris Health και το Κέντρο Καρκίνου Fred Hutch, όπου οι εγκληματίες του κυβερνοχώρου έδειξαν την έλλειψη ηθικών ορίων.

Μέχρι στιγμής, το 2024, η ομάδα έχει ανακοινώσει 134 επιθέσεις ransomware εναντίον διαφόρων οργανισμών παγκοσμίως (εκτός από την CIS), κατατάσσοντάς την στη δέκατη θέση μεταξύ των πιο ενεργών ομάδων στον χώρο.

SharpRhino RAT

Το SharpRhino RAT που χρησιμοποιεί η Hunters International, διαδίδεται ως ένα ψηφιακά υπογεγραμμένο πρόγραμμα εγκατάστασης 32 bit (‘ipscan-3.9.1-setup.exe’) που περιέχει ένα αρχείο 7z που προστατεύεται με κωδικό πρόσβασης, και εξάγει πρόσθετα αρχεία για την εκτέλεση της μόλυνσης.

Δείτε ακόμα: Το 9002 RAT malware στοχεύει ιταλικές εταιρείες

Το πρόγραμμα εγκατάστασης τροποποιεί το μητρώο των Windows για διατήρηση και δημιουργεί μια συντόμευση για το Microsoft.AnyKey.exe, συνήθως ένα δυαδικό αρχείο του Microsoft Visual Studio που γίνεται κατάχρηση σε αυτήν την περίπτωση. Επιπλέον, το πρόγραμμα εγκατάστασης απορρίπτει το ‘LogUpdate.bat‘, το οποίο εκτελεί σενάρια PowerShell στη συσκευή για να μεταγλωττίσει το C# στη μνήμη για την εκτέλεση κρυφού malware.

Το πρόγραμμα εγκατάστασης δημιουργεί δύο καταλόγους, «C:\ProgramData\Microsoft: WindowsUpdater24» και «LogUpdateWindows», οι οποίοι χρησιμοποιούνται και οι δύο στην ανταλλαγή εντολών και ελέγχου (C2).

Η ανάλυση δείχνει ότι το SharpRhino RAT της Hunters International, μπορεί να εκτελέσει το PowerShell στον κεντρικό υπολογιστή, το οποίο μπορεί να χρησιμοποιηθεί για την εκτέλεση διαφόρων επικίνδυνων ενεργειών.

Η Quorum δοκίμασε αυτόν τον μηχανισμό εκκινώντας με επιτυχία την αριθμομηχανή των Windows μέσω του SharpRhino.

Η νέα τακτική της Hunters International να αναπτύσσει ιστότοπους για να πλαστοπροσωπεί τα νόμιμα εργαλεία σάρωσης δικτύου ανοιχτού κώδικα υποδηλώνει ότι στοχεύει εργαζόμενους στον τομέα του IT, με την ελπίδα να παραβιάσει λογαριασμούς με αυξημένα προνόμια.

Οι χρήστες θα πρέπει να προσέχουν τα χορηγούμενα αποτελέσματα στα αποτελέσματα αναζήτησης για να αποφύγουν το malvertising, να ενεργοποιήσουν προγράμματα αποκλεισμού διαφημίσεων για να αποκρύψουν πλήρως αυτά τα αποτελέσματα και να προσθέσουν σελιδοδείκτες σε επίσημους ιστότοπους έργων που είναι γνωστό ότι προμηθεύονται ασφαλείς εγκαταστάτες.

Δείτε επίσης: Νέα phishing καμπάνια διανέμει το Poco RAT

Το Remote Access Trojan (RAT), όπως το SharpRhino της Hunters International, είναι ένας τύπος κακόβουλου λογισμικού που επιτρέπει σε έναν εισβολέα να αποκτήσει τον έλεγχο της συσκευής ενός χρήστη χωρίς τη γνώση ή τη συγκατάθεσή του. Μόλις εγκατασταθεί, ένα RAT μπορεί να επιτρέψει στον εισβολέα να έχει πρόσβαση σε ευαίσθητες πληροφορίες, να παρακολουθεί τη δραστηριότητα του χρήστη και να εκτελεί ενέργειες στη μολυσμένη συσκευή, όπως λήψη πλήκτρων, λήψη στιγμιότυπων οθόνης ή ακόμα και ενεργοποίηση της κάμερας web. Τα RAT διανέμονται συχνά μέσω email ηλεκτρονικού phishing, κακόβουλων λήψεων ή εκμετάλλευσης ευπαθειών λογισμικού. Λόγω της κρυφής φύσης αυτών των trojans, ενέχουν σημαντικούς κινδύνους για το προσωπικό απόρρητο, την ασφάλεια των δεδομένων και τη συνολική ακεραιότητα του συστήματος. Αποτελεσματικά μέτρα, συμπεριλαμβανομένου του λογισμικού προστασίας από ιούς και των τακτικών ενημερώσεων συστήματος, είναι απαραίτητα για την προστασία από τέτοιες απειλές.

Πηγή: bleepingcomputer