Microsoft opozarja: Pazite na to novo zlonamerno programsko opremo, ki krade gesla, podatke spletne kamere in brskalnika

Microsoft je izdal opozorilo glede orodja za oddaljeni dostop (RAT), imenovanega RevengeRAT, za katerega pravi, da je bilo uporabljeno za ciljanje na vesoljski in potovalni sektor z e-poštnimi sporočili, ki lažno predstavljajo.

RevengeRAT, znan tudi kot AsyncRAT, se distribuira prek skrbno oblikovanih e-poštnih sporočil, ki pozivajo zaposlene da odprete datoteko, ki se maskira kot datotečna priloga Adobe PDF, ki v resnici prenese zlonamerni Visual Basic (VB) mapa.

Varnostno podjetje Morphisec nedavno označil oba RAT-ja kot del sofisticiranega Crypter-as-a-Service, ki zagotavlja več družin RAT.

GLEJ: Varnostna politika omrežja (TechRepublic Premium)

Po mnenju Microsoftae-poštna sporočila z lažnim predstavljanjem distribuirajo nalagalnik, ki nato dostavi RevengeRAT ali AsyncRAT. Morphisec pravi, da dostavlja tudi RAT Agent Tesla.

»Kampanja uporablja e-poštna sporočila, ki ponarejajo zakonite organizacije, z vabami, ki so pomembne za letalstvo, potovanja ali tovor. Slika, ki se predstavlja kot datoteka PDF, vsebuje vdelano povezavo (običajno zlorablja zakonite spletne storitve), ki prenese zlonamerni VBScript, ki izpusti koristne obremenitve RAT,« je dejal Microsoft.

Morphisec je storitev kriptorja poimenoval "Snip3" na podlagi uporabniškega imena, vzetega iz zlonamerne programske opreme, ki jo je našel v prejšnjih različicah.

Snip3 je bil konfiguriran tako, da ne naloži RAT, če zazna, da se izvaja v peskovniku Windows – varnostna funkcija virtualnega stroja, ki jo je Microsoft predstavil leta 2018. Windows Sandbox naj bi naprednim uporabnikom omogočil zagon potencialno zlonamernih izvršljivih datotek v varnem peskovniku, ki ne bo vplival na gostiteljski operacijski sistem.

"Če jo konfigurira [napadalec], PowerShell izvaja funkcije, ki poskušajo zaznati, ali je skript se izvaja v okoljih Microsoft Sandbox, VMWare, VirtualBox ali Sandboxie," Morphisec opombe.

"Če skript identificira eno od teh okolij navideznega stroja, se skript konča brez nalaganja tovora RAT."

Toda če so RAT-ji nameščeni, se povežejo s strežnikom za ukaze in nadzor (C2) in prenesejo več zlonamerne programske opreme s spletnih mest za lepljenje, kot je pastebin.com.

Ni jih dobro najti v nobenem sistemu, saj je znano, da podgane ukradejo poverilnice, video in slike iz spletne kamere in vse, kar je bilo kopirano v sistemsko odložišče za lepljenje drugam.

"RAT se povežejo s strežnikom C2, ki gostuje na dinamičnem spletnem mestu za gostovanje, da se registrirajo pri napadalcih, nato pa uporabijo kodirano UTF-8 PowerShell in tehnike brez datotek za prenos treh dodatnih stopenj s pastebin[.]com ali podobnih spletnih mest," Microsoft Security Inteligenca je rekla.

"Trojanci nenehno znova izvajajo komponente, dokler se ne morejo vnesti v procese, kot so RegAsm, InstallUtil ali RevSvcs. Ukradejo poverilnice, posnetke zaslona in podatke spletne kamere, podatke brskalnika in odložišča, sistem in omrežje ter izločijo podatke pogosto prek vrat SMTP 587."

Microsoft je na GitHubu objavil nekaj naprednih iskalnih poizvedb, ki jih varnostne ekipe lahko uporabijo, če zaznajo te grožnje v svojem omrežju.

GLEJ: Ransomware je pravkar postal zelo resničen. In verjetno bo še slabše

Njegove odprtokodne informacije o obveščanju o grožnjah do danes vključujejo ključne besede, povezane z Lažna e-poštna sporočila Spin3 ki ciljajo na letalski sektor, kot tudi poizvedbo, ki išče klic funkcije metode z imenom DetectSandboxie.

»Ta metoda se uporablja v primerih RevengeRAT in AsyncRAT, vključenih v kampanjo, ki cilja na letalsko industrijo, prvič opaženo leta 2021. V preteklosti so ga povezovali tudi z drugo zlonamerno programsko opremo, kot sta WannaCry in QuasarRAT,« Microsoftove opombe.

Izsiljevalska programska oprema WannaCry se je sredi leta 2017 hitro razširil po svetu in so ga pripisali severnokorejskim hekerjem. QuasarRAT je bil uporabljen leta 2018 za ukrasti poverilnice ukrajinski vladi.