Odborníci na kybernetickou bezpečnost odhalili novou phishingovou kampaň, která zneužívá soukromé zprávy na sociálních médiích k šíření škodlivých datových zátěží, pravděpodobně s úmyslem nasadit trojského koně pro vzdálený přístup (RAT).
Aktivita doručuje „zbraňové soubory prostřednictvím Dynamic Link Library (DLL) sideloadingu v kombinaci s legitimním open-source Python pen-testovacím skriptem,“ uvedla společnost ReliaQuest ve zprávě sdílené s The Hacker News.
Útok zahrnuje oslovení vysoce hodnotných jednotlivců prostřednictvím zpráv odeslaných na LinkedInu, budování důvěry a oklamání obětí, aby stáhly škodlivý samorozbalovací archiv WinRAR (SFX). Po spuštění archiv extrahuje čtyři různé komponenty:
- Legitimní open-source aplikaci pro čtení PDF
- Škodlivou DLL, která je načtena pomocí PDF čtečky
- Přenosný spustitelný soubor (PE) interpretu Pythonu
- RAR soubor, který pravděpodobně slouží jako návnada
Infekční řetězec se aktivuje při spuštění aplikace pro čtení PDF, což způsobí načtení škodlivé DLL. Použití DLL side-loadingu se stalo stále běžnější technikou, kterou přijímají hackeři k vyhnutí se detekci a skrytí známek škodlivé aktivity zneužitím legitimních procesů.
Nedávno alespoň tři zdokumentované kampaně využily DLL side-loading k doručení malwarových rodin sledovaných jako LOTUSLITE a PDFSIDER spolu s dalšími komoditními trojany a kradači informací.
V kampani pozorované společností ReliaQuest se načtená DLL používá k umístění interpretu Pythonu do systému a vytvoření klíče Windows Registry Run, který zajišťuje, že interpret Pythonu se automaticky spustí při každém přihlášení. Primární odpovědností interpretu je spustit Base64-kódovaný open-source shellcode, který je přímo spuštěn v paměti, aby se zabránilo zanechání forenzních artefaktů na disku.
Konečná datová zátěž se pokouší komunikovat s externím serverem, čímž útočníkům poskytuje trvalý vzdálený přístup ke kompromitovanému hostiteli a exfiltraci dat, která je zajímají.
Zdroj: thehackernews.com
