Haittaohjelmat "Meal Kits" -ohjelmat palvelevat mutkattomia RAT-hyökkäyksiä

Saatavuus lisääntyy haittaohjelmien "ateriapakkaukset" alle 100 dollarilla lisäävät cKampanjat käyttävät etäkäyttötroijalaisia ​​(RAT), jotka on usein upotettu näennäisesti laillisille Excel- ja PowerPoint-tiedostoille, jotka on liitetty sähköpostiin.

Näin sanoo HP Wolf Security, joka julkaisi "Q3 2023 Threat Insights -raporttiTänään havaittiin merkittävä piikki Excel-tiedostoissa, joissa on Parallax RAT -tartunnan saaneita DLL-tiedostoja. HP:n johtavan haittaohjelmaanalyytikon Alex Hollandin mukaan tiedostot näyttävät vastaanottajille aitoina laskuissa, joita napsautettuna käynnistää haittaohjelman. Parallax RAT -haittaohjelmasarjat ovat saatavilla hakkerointifoorumeilla hintaan 65 dollaria kuukaudessa, hän lisää.

HP:n raportin mukaan kyberrikolliset ovat myös kohdistaneet hyökkääjiä vastaan ​​haittaohjelmasarjoilla, kuten XWorm, joita isännöidään näennäisesti laillisissa arkistoissa, kuten GitHub. Toiset, kuten ne, joissa on uusi DiscordRAT 2.0, ovat myös äskettäintutkijoiden mukaan.

Holland korosti, että 80 % uhista, joita se näki telemetriassa vuosineljänneksen aikana, oli sähköpostipohjaisia. Ja mielenkiintoisessa ryppyssä, jotkut Kyberrikolliset näyttävät ajavan omaansa perään, ja taitavat hyökkääjät iskevät kokemattomiin joissakin RAT-kampanjoissa.

Parallax Rising

HP:n raportin mukaan Parallax RAT hyppäsi 46. suosituimmasta hyötykuormasta vuoden 2023 toisella neljänneksellä seitsemänneksi seuraavalla neljänneksellä. "Se on todella suuri piikki hyökkääjien määrässä, jotka käyttävät tätä tiedostomuotoa haittaohjelmiensa toimittamiseen", Holland sanoo.

Esimerkiksi tutkijat havaitsivat yhden Parallax RAT -kampanjan, jossa suoritettiin "Jekyll and Hyde" -hyökkäys: "Kaksi säiettä suoritetaan, kun käyttäjä avaa skannatun laskumallin. Toinen säiettä avaa tiedoston, kun taas toinen ajaa haittaohjelmia kulissien takana, mikä vaikeuttaa käyttäjien kertoa hyökkäyksestä, että hyökkäys on käynnissä", raportin mukaan.

Parallax yhdistettiin aiemmin erilaisiin haittaohjelmakampanjoihin pandemian alkaessa maaliskuussa 2020 julkaiseman blogikirjoituksen mukaan. Arnold Osipov, haittaohjelmien tutkija Morphisecissä. "Se pystyy ohittamaan edistyneet tunnistusratkaisut, varastamaan valtuustietoja ja suorittamaan etäkomentoja", Osipov kirjoitti tuolloin.

Osipov kertoo Dark Readingille nyt, että hän ei ole nähnyt HP:n raportoimaa Parallaxia käyttävien hyökkäysten erityistä lisääntymistä, mutta yleisesti ottaen RAT:ista on tullut kasvava uhka vuonna 2023.

Rotat tunkeutuvat kyberhyökkäyspaikalle

Erilaisia ​​nousuja RAT-toiminnassa on yksi heinäkuussa, jolloin Check Point Research huomautti a. tartunnan saaneiden Microsoft Office -tiedostojen määrän kasvuun RAT tunnetaan nimellä Remcos, joka ilmestyi ensimmäisen kerran vuonna 2016. Monet näistä haitallisista tiedostoista ovat ilmestyneet uhkatoimijoiden luomille väärennetyille verkkosivustoille. 

Toinen HP:n korostama RAT-pohjainen kampanja, joka on nousussa, on Houdini, joka kätkee Vjw0rm JavaScript-haittaohjelman. Houdini on 10 vuotta vanha VBScript-pohjainen RAT, joka on nyt helposti saavutettavissa hakkerointimuodoissa, jotka hyödyntävät käyttöjärjestelmäpohjaisia ​​komentosarjaominaisuuksia. 

On syytä huomata, että Houdinin ja Parallaxin uhkat voivat olla lyhytaikaisia ​​nyt Microsoft aikoo poistaa VBScriptin käytöstä. Microsoft ilmoitti aiemmin tässä kuussa, että VBScript on saatavilla vain tulevissa Windows-julkaisuissa, on saatavilla vain pyynnöstä ja lopulta ei ole enää saatavilla. 

Vaikka Holland kuitenkin sanoo, että vaikka tämä on hyvä uutinen puolustajille, hyökkääjät siirtyvät johonkin muuhun.

"Odotamme tulevaisuudessa, että hyökkääjät vaihtavat VBScript-haittaohjelmista ja mahdollisesti jopa JavaScript-haittaohjelmista muotoihin, joita Windows tukee edelleen - kuten PowerShell ja Bash", hän sanoo. "Ja odotamme myös, että hyökkääjät keskittyvät enemmän käyttämään mielenkiintoisia tai uusia hämärätekniikoita ohittaakseen päätepisteiden suojauksen käyttämällä näitä koodauskieliä."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/endpoint/malware-meal-kits-serve-up-no-fuss-rat-attacks