Νέα καμπάνια malware διασπείρει το BitRAT

Ανακαλύφθηκε μια νέα καμπάνια malware που βασίστηκε σε εμπιστευτικά οικονομικά δεδομένα που εκλάπησαν από μια τράπεζα για να δελεάσει τα θύματα μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing και να αναπτύξει το κακόβουλο remote access trojan, γνωστό ως BitRAT.

Ένας άγνωστος απειλητικός παράγοντας πιστεύεται ότι έχει θέσει υπό τον έλεγχό του την IT υποδομή μιας κολομβιανής συνεταιριστικής τράπεζας, χρησιμοποιώντας τα δεδομένα για να δημιουργήσει πειστικά ψεύτικα μηνύματα που θα δελέαζαν τα θύματα να ανοίξουν αμφίβολα έγγραφα του Excel.

Η Qualys, μια κορυφαία εταιρεία ασφάλειας στον κυβερνοχώρο, ήταν η πρώτη που αποκάλυψε στοιχεία για μια εκτεταμένη παραβίαση βάσης δεδομένων που αποτελούνταν από περισσότερες από 418 χιλιάδες εγγραφές, οι οποίες συγκεντρώθηκαν με την εκμετάλλευση σφαλμάτων SQL injection.

Οι πληροφορίες που έχουν διαρρεύσει αποκαλύπτουν τους αριθμούς Cédula (επίσημο εθνικό έγγραφο ταυτότητας), τις διευθύνσεις email, τους αριθμούς τηλεφώνου, τα ονόματα των πελατών, τα αρχεία πληρωμών και τις λεπτομέρειες του μισθού των Κολομβιανών πολιτών, καθώς και τις διευθύνσεις κατοικίας τους.

Φαίνεται ότι καμία προηγούμενη αποκάλυψη αυτών των πληροφοριών δεν έχει γίνει σε κανένα φόρουμ στο darknet ή γενικά online, γεγονός που σημαίνει ότι οι απειλητικοί φορείς μπόρεσαν να αποκτήσουν πρόσβαση σε δεδομένα πελατών χωρίς βοήθεια και να τα χρησιμοποιήσουν για τους δικούς τους κακόβουλους σκοπούς.

Το αρχείο Excel, που περιέχει τα κλεμμένα τραπεζικά έγγραφα, περιέχει μια μακροεντολή που έχει σχεδιαστεί για να κατεβάζει και να εγκαθιστά το BitRAT στο παραβιασμένο σύστημα. Αυτό το DLL payload δεύτερου σταδίου εξάγει ζωτικής σημασίας δεδομένα από το μηχάνημα κατά την εκκίνηση.

Σύμφωνα με τον ερευνητή της Qualys, Akshat Pradhan, το κακόβουλο λογισμικό BitRAT χρησιμοποιεί τη βιβλιοθήκη WinHTTP για να κατεβάζει ωφέλιμα φορτία από το GitHub και να τα αποθηκεύει στον %temp% directory.

Στα μέσα Νοεμβρίου του 2022 δημιουργήθηκε ένα repository στο GitHub, το οποίο λειτουργεί για την αποθήκευση obfuscated δειγμάτων BitRAT loader. Αυτά τα κρυπτογραφημένα αρχεία αποκωδικοποιούνται στη συνέχεια και χρησιμοποιούνται για την ολοκλήρωση επιτυχημένων αλυσίδων μόλυνσης.

Το BitRAT, ένα προσιτό και προσβάσιμο κακόβουλο λογισμικό που διατίθεται στο dark web με κόστος μόλις 20 δολάρια, είναι γεμάτο με μια ποικιλία χαρακτηριστικών. Αυτό το κακόβουλο εργαλείο μπορεί να χρησιμοποιηθεί για την κλοπή δεδομένων, τη συλλογή credentials, το crypto mining καθώς και τη λήψη συμπληρωματικών binaries.

Τα remote access trojans αποτελούν τεράστιο κίνδυνο τόσο για τους ιδιώτες όσο και για τις επιχειρήσεις, λόγω της ικανότητάς τους να παρέχουν στους χάκερς πλήρη έλεγχο των υπολογιστών και των δικτύων. Είναι σημαντικό να κατανοήσουν όλοι πώς λειτουργούν αυτά τα κακόβουλα προγράμματα, ώστε να μπορούν να προστατευτούν καλύτερα.

Πηγή πληροφοριών: thehackernews.com