„Zestawy posiłków” złośliwego oprogramowania umożliwiają bezproblemowe ataki szczurów

Wzrost dostępności „zestawy posiłków” złośliwego oprogramowania za mniej niż 100 dolarów napędzają wzrost liczby wirusów ckampanie wykorzystują trojany dostępu zdalnego (RAT), które często są osadzone w pozornie legalnych plikach Excel i PowerPoint dołączonych do wiadomości e-mail.

Tak twierdzi firma HP Wolf Security, która opublikowała swoje „Raport dotyczący analizy zagrożeń za III kwartał 3 r” dzisiaj, obserwując znaczny wzrost liczby plików Excel z bibliotekami DLL zainfekowanymi Parallax RAT. Według starszego analityka HP ds. złośliwego oprogramowania, Alexa Hollanda, pliki na fakturach wydają się odbiorcom legalne, a po kliknięciu uruchamiają szkodliwe oprogramowanie. Dodaje, że zestawy szkodliwego oprogramowania Parallax RAT są dostępne na forach hakerskich w cenie 65 dolarów miesięcznie.

Z raportu HP wynika, że ​​cyberprzestępcy obrali za cel także aspirujących atakujących zestawy szkodliwego oprogramowania, takie jak XWorm, hostowane w pozornie legalnych repozytoriach, takich jak GitHub. Inne, na przykład te z nowym DiscordRAT 2.0, również to zrobiły niedawno pojawił sięzdaniem badaczy.

Holland podkreślił, że 80% zagrożeń, które dostrzegł w swoich telemetrii w tym kwartale, miało charakter e-mailowy. I w ciekawej zmarszczce, trochę Wydaje się, że cyberprzestępcy atakują swoich, a w niektórych kampaniach RAT sprytni napastnicy atakują niedoświadczonych użytkowników.

Powstawanie paralaksy

Według raportu HP Parallax RAT wskoczył z 46. najpopularniejszego ładunku w drugim kwartale 2023 r. na siódme miejsce w kolejnym kwartale. „To naprawdę duży wzrost liczby atakujących wykorzystujących ten format pliku do dostarczania złośliwego oprogramowania” – mówi Holland.

Na przykład badacze zauważyli, że jedna z kampanii Parallax RAT przeprowadziła atak „Jekyll and Hyde”: „Gdy użytkownik otworzy zeskanowany szablon faktury, uruchamiają się dwa wątki. Jeden wątek otwiera plik, podczas gdy drugi uruchamia w tle złośliwe oprogramowanie, przez co użytkownikom trudniej jest zorientować się, że trwa atak” – wynika z raportu.

Jak wynika z wpisu na blogu z marca 2020 r., Parallax była wcześniej kojarzona z różnymi kampaniami złośliwego oprogramowania na początku pandemii Arnold Osipow, badacz złośliwego oprogramowania w Morphisec. „Jest w stanie ominąć zaawansowane rozwiązania wykrywające, kraść dane uwierzytelniające i wykonywać zdalne polecenia” – napisał wówczas Osipow.

Osipow mówi teraz Dark Reading, że nie zaobserwował konkretnego wzrostu liczby ataków z wykorzystaniem paralaksy, o którym informuje HP, ale ogólnie rzecz biorąc, RAT stały się rosnącym zagrożeniem w 2023 r.

Szczury atakują scenę cyberataku

Różne wzrosty aktywności RAT obejmują jeden w lipcu, kiedy Badania Check Point wskazały na wzrost liczby plików pakietu Microsoft Office zainfekowanych wirusem SZCZUR znany jako Remcos, który pojawił się po raz pierwszy w 2016 r. Wiele z tych złośliwych plików pojawiło się na fałszywych stronach internetowych utworzonych przez cyberprzestępców. 

Inną coraz popularniejszą kampanią opartą na RAT, którą podkreśla HP, jest Houdini, która ukrywa złośliwe oprogramowanie JavaScript Vjw0rm. Houdini to 10-letni RAT oparty na VBScript, obecnie łatwo dostępny w formularzach hakerskich wykorzystujących funkcje skryptowe oparte na systemie operacyjnym. 

Warto zauważyć, że zagrożenia ze strony Houdiniego i Paralaksy mogą być obecnie krótkotrwałe Microsoft planuje wycofać VBScript. Na początku tego miesiąca firma Microsoft ogłosiła, że ​​język VBScript będzie dostępny tylko w przyszłych wersjach systemu Windows, będzie dostępny wyłącznie na żądanie, a ostatecznie nie będzie już dostępny. 

Jednak Holland twierdzi, że chociaż jest to dobra wiadomość dla obrońców, napastnicy zajmą się czymś innym.

„Oczekujemy, że w przyszłości napastnicy przejdą ze złośliwego oprogramowania VBScript, a być może nawet złośliwego oprogramowania JavaScript, na formaty, które będą nadal obsługiwane w systemie Windows, takie jak PowerShell i Bash” – mówi. „Oczekujemy również, że napastnicy skoncentrują się bardziej na stosowaniu interesujących lub nowatorskich technik zaciemniania w celu ominięcia zabezpieczeń punktów końcowych przy użyciu tych języków kodowania”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/endpoint/malware-meal-kits-serve-up-no-fuss-rat-attacks