Η κυβερνοεπίθεση CLOUD#REVERSER χρησιμοποιεί Cloud υπηρεσίες για διάδοση κακόβουλου λογισμικού

Μια νέα κυβερνοεπίθεση με την ονομασία CLOUD#REVERSER έχει παρατηρηθεί να χρησιμοποιεί νόμιμες υπηρεσίες αποθήκευσης στο cloud, όπως το Google Drive και το Dropbox, για τη διάδοση κακόβουλου λογισμικού.

Η κυβερνοεπίθεση CLOUD#REVERSER ξεκινά με ένα phishing email που περιέχει ένα αρχείο ZIP με ένα εκτελέσιμο αρχείο που προσποιείται ότι είναι αρχείο Excel. Το όνομα του αρχείου χρησιμοποιεί τον κρυφό χαρακτήρα Unicode RLO για να αντιστρέψει τη σειρά των χαρακτήρων, παραπλανώντας τον χρήστη να πιστεύει ότι ανοίγει ένα αρχείο Excel. Τα phishing email άλλωστε, είναι ειδικά σχεδιασμένα για να παραπλανούν αθώους χρήστες και να τους παρακινούν να κατεβάζουν και να ανοίγουν το επικίνδυνο αρχείο, αυξάνοντας έτσι τον κίνδυνο μόλυνσης του συστήματος τους από κακόβουλο λογισμικό.

Το εκτελέσιμο αρχείο ρίχνει οκτώ φορτία, συμπεριλαμβανομένου ενός αρχείου Excel για κάλυψη και κακόβουλα σενάρια VBScript που διατηρούν την παραπλάνηση και εγκαθιστούν άλλες επιμονές. Αυτά τα σενάρια προγραμματίζουν εργασίες στο σύστημα, προσποιούμενα ενημερώσεις του Google Chrome, για να κατεβάσουν επιπλέον σενάρια PowerShell από λογαριασμούς Dropbox και Google Drive που ελέγχονται από τον χάκερ.

Στη συνέχεια, τα σενάρια VB προσαρμόζονται για να εκτελούν τα σενάρια PowerShell που έχουν ληφθεί πρόσφατα, ανακτώντας επιπλέον αρχεία από τις υπηρεσίες cloud. Αυτό περιλαμβάνει δυαδικά αρχεία που μπορεί να εκτελεστούν, ανάλογα με τις πολιτικές του συστήματος.

Τα σενάρια PowerShell μπορούν να τροποποιηθούν ανά πάσα στιγμή από τους χάκερς και να χρησιμοποιηθούν για να κατεβάσουν και να εκτελέσουν αρχεία στο μολυσμένο σύστημα. Αυτή η τεχνική επιτρέπει στους χάκερς να διατηρούν πρόσβαση στα συστήματα και να χρησιμοποιούν αυτές τις πλατφόρμες για εξαγωγή δεδομένων και εκτέλεση εντολών.

Οι ερευνητές της Securonix αναφέρουν ότι η έρευνα συνεχίζεται και δεν είναι σε θέση να δώσουν λεπτομέρειες για τους στόχους και την έκταση της επίθεσης.