Το SSLoad malware διανέμεται μέσω PhantomLoader
24 Ιουνίου, 2024VMware: Κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση των κρίσιμων ευπαθειών της
26 Ιουνίου, 2024Χάκερς δελεάζουν ανυποψίαστους χρήστες με δωρεάν ή πειρατικές εκδόσεις λογισμικού για να εγκαταστήσουν το Hijack Loader, το οποίο στη συνέχεια αναπτύσσει το Vidar Stealer για κλοπή πληροφοριών.
Σύμφωνα με τον ερευνητή της Trellix Ale Houspanossian, οι επιτιθέμενοι παραπλανούν τους χρήστες να κατεβάσουν αρχεία αρχείων με κωδικό πρόσβασης που περιέχουν τροποποιημένα αντίγραφα της εφαρμογής Cisco Webex Meetings. Όταν οι χρήστες εκτελούν το αρχείο “Setup.exe”, η εφαρμογή εγκαθιστά κρυφά έναν loader κακόβουλου λογισμικού, ο οποίος εκτελεί ένα module κλοπής πληροφοριών.
Η καμπάνια χρησιμοποιεί τεχνικές DLL side-loading για να εκκινήσει κρυφά το Hijack Loader, το οποίο στη συνέχεια εγκαθιστά το Vidar Stealer μέσω ενός AutoIt script. Το κακόβουλο λογισμικό εκμεταλλεύεται γνωστές τεχνικές παράκαμψης του User Account Control και αύξησης προνομίων μέσω της διεπαφής CMSTPLUA COM. Μετά την αύξηση των προνομίων, το κακόβουλο λογισμικό προστίθεται στη λίστα εξαιρέσεων του Windows Defender για να αποφύγει την ανίχνευση.
Εκτός από την κλοπή ευαίσθητων δεδομένων, η επίθεση χρησιμοποιεί επιπλέον φορτία για να εγκαταστήσει σύστημα εξόρυξης κρυπτονομισμάτων στον συμβιβασμένο υπολογιστή. Η αποκάλυψη αυτή έρχεται μετά από αύξηση των καμπανιών ClearFake, που ωθούν τους χρήστες να εκτελέσουν ένα PowerShell script για να επιλύσουν υποτιθέμενα προβλήματα στην προβολή ιστοσελίδων. Αυτό το script εγκαθιστά το Hijack Loader, το οποίο τελικά μεταφέρει το Lumma Stealer.
Επιπλέον, καμπάνιες όπως το ClickFix και ο TA571 χρησιμοποιούν παραπλανητικά μηνύματα και κακόβουλα αρχεία για να διαδώσουν το Vidar Stealer και άλλο κακόβουλο λογισμικό όπως το Matanbuchus και το DarkGate. Η εκστρατεία SolarMarker, που αποκαλύφθηκε από την eSentire, χρησιμοποιεί τεχνικές SEO για να βελτιώσει την ορατότητα των κακόβουλων συνδέσμων, δελεάζοντας τους χρήστες να κατεβάσουν κακόβουλο λογισμικό μέσω ψεύτικων ιστοσελίδων.