Tutkijat ovat havainneet kaksi tietojenkalastelusivustoa – joista toinen huijaa Ciscon verkkosivua ja toinen naamioituu Grammarly-sivustoksi – joita uhkatoimijat käyttävät levittääkseen erityisen haitallista DarkTortilla-nimistä haittaohjelmaa.
.NET-pohjainen haittaohjelma voidaan määrittää toimittamaan erilaisia hyötykuormia, ja se tunnetaan toiminnoistaan, jotka tekevät siitä erittäin salaperäinen ja sinnikäs järjestelmissä, joita se vaarantaa.
Useat uhkaryhmät ovat käyttäneet DarkTortillaa ainakin vuodesta 2015 lähtien tietojen varastajien ja etäkäyttötroijalaisten, kuten AgentTesla, AsyncRAT ja NanoCore, pudottamiseksi. Myös jotkut kiristysohjelmaryhmät - kuten Babukin operaattorit - ovat käyttäneet DarkTortillaa osana hyötykuorman toimitusketjuaan. Monissa näistä kampanjoista hyökkääjät ovat käyttäneet ensisijaisesti haitallisia tiedostoliitteitä (.zip, .img, .iso) roskapostisähköposteissa kääriäkseen pahaa aavistamattomat käyttäjät haittaohjelmiin.
DarkTortilla-toimitus tietojenkalastelusivustojen kautta
Äskettäin Cyble Researchin ja Intelligence Labsin tutkijat havaitsivat haitallisen kampanjan, jossa uhkatekijät käyttävät kahta tietojenkalastelusivustoa, jotka naamioituvat laillisiksi sivustoiksi, levittääkseen haittaohjelmia. Cyble arveli, että kampanjan ylläpitäjät käyttävät todennäköisesti roskapostia tai verkkomainoksia linkkien jakamiseen näille kahdelle sivustolle.
Käyttäjät, jotka seuraavat linkkiä väärennetylle Grammarly-sivustolle, päätyvät lataamaan haitallisen tiedoston nimeltä "GnammanlyInstaller.zip", kun he napsauttavat "Get Grammarly" -painiketta. .zip-tiedosto sisältää haitallisen asennusohjelman, joka on naamioitu Grammarly-suoritettavaksi tiedostoksi, joka pudottaa toisen, salatun 32-bittisen .NET-suoritustiedoston. Tämä puolestaan lataa salatun DLL-tiedoston hyökkääjän ohjaamasta etäpalvelimesta. .NET-suoritettava tiedosto purkaa salatun DLL-tiedoston salauksen ja lataa sen vaarantuneen järjestelmän muistiin, jossa se suorittaa erilaisia haitallisia toimintoja, Cyble sanoi.
Ciscon tietojenkalastelusivusto näyttää samalla Ciscon Secure Client VPN -tekniikan lataussivulta. Mutta kun käyttäjä napsauttaa painiketta "tilatakseen" tuotteen, hän päätyy lataamaan haitallisen VC++-tiedoston etähyökkääjän ohjaamasta palvelimesta. Haittaohjelma käynnistää sarjan toimintoja, jotka päättyvät DarkTortillan asentamiseen vaarantuneeseen järjestelmään.
Cyblen hyötykuorman analyysi osoitti haittaohjelmien pakkaustoiminnot pysyvyyttä, prosessien lisäystä, virustentorjunta- ja virtuaalikoneen/hiekkalaatikkotarkistuksia, väärennettyjen viestien näyttämistä sekä kommunikointia sen komento- ja ohjauspalvelimen (C2) kanssa ja lisähyötykuormien lataamista siitä.
Cyblen tutkijat havaitsivat, että varmistaakseen pysyvyyden esimerkiksi tartunnan saaneessa järjestelmässä DarkTortilla pudottaa kopion itsestään järjestelmän käynnistyskansioon ja luo Run/Winlogin-rekisterimerkinnät. Ylimääräisenä pysyvyysmekanismina DarkTortilla luo myös uuden kansion nimeltä "system_update.exe" tartunnan saaneeseen järjestelmään ja kopioi itsensä kansioon.
Kehittyneet ja vaaralliset haittaohjelmat
DarkTortillan valeviestitoiminto palvelee periaatteessa viestejä, jotka huijaavat uhrit uskomaan, että Grammarly- tai Cisco-sovellus, jonka he halusivat, epäonnistui, koska tietyt riippuvat sovelluskomponentit eivät olleet saatavilla heidän järjestelmässään.
"DarkTortilla-haittaohjelma on erittäin kehittynyt .NET-pohjainen haittaohjelma, joka kohdistuu käyttäjiin luonnossa", Cyblen tutkijat sanoivat maanantaina antamassaan neuvonnassa. "Tietojenkalastelusivustoilta ladatut tiedostot sisältävät erilaisia tartuntatekniikoita, mikä osoittaa, että [uhkatoimijoilla] on kehittynyt alusta, joka pystyy mukauttamaan ja kääntämään binaarin eri vaihtoehdoilla."
Kuten mainittiin, DarkTortilla toimii usein ensimmäisen vaiheen latausohjelmana lisähaittaohjelmille. Secureworksin Counter Threat Unit -yksikön tutkijat havaitsivat aiemmin tänä vuonna uhkatekijöitä, jotka käyttävät DarkTortillaa laajan valikoiman haittaohjelmien levittämiseen, mukaan lukien Remcos, BitRat, WarzoneRat, Snake Keylogger, LokiBot, QuasarRat, NetWire ja DCRat.
He tunnistivat myös joitain vastustajia, jotka käyttävät haittaohjelmia kohdistetuissa hyökkäyksissä toimittamiseen Kobolttilakko ja Metasploit-kompromissin jälkeiset hyökkäyssarjat. Tuolloin Secureworks kertoi laskeneensa ainakin 10,000 XNUMX ainutlaatuista DarkTortilla-näytettä sen jälkeen, kun se havaitsi ensimmäisen kerran haittaohjelmaa käyttävän uhkatekijän hyökkäyksessä, joka kohdistui kriittiseen Microsoft Exchangen koodin etäsuoritushaavoittuvuuteen (CVE-2021-34473) viime vuonna.
Secureworks arvioi DarkTortillan erittäin vaaralliseksi, koska sen konfiguroitavuus on korkea ja se käyttää avoimen lähdekoodin työkaluja, kuten CofuserEX ja DeepSea, sen koodin hämärtämiseen. Se, että DarkTortillan päähyötykuorma suoritetaan kokonaan muistissa, on toinen ominaisuus, joka tekee haittaohjelmasta vaarallisen ja vaikeasti havaittavan, Secureworks huomautti tuolloin.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
