Οι χάκερ δημιουργούν ψεύτικες ιστοσελίδες που φιλοξενούν installers με trojanized software για να εξαπατήσουν ανυποψίαστους χρήστες να κατεβάσουν ένα downloader malware που ονομάζεται Fruity, με σκοπό την εγκατάσταση εργαλείων remote trojan όπως το Remcos RAT.
Το ακριβές αρχικό διάνυσμα πρόσβασης που χρησιμοποιήθηκε στην εκστρατεία δεν είναι σαφές, αλλά θα μπορούσε να κυμαίνεται από phishing μέχρι λήψη αρχείων drive-by ή κακόβουλων διαφημίσεων. Οι χρήστες που καταλήγουν στην πλαστή ιστοσελίδα καλούνται να κατεβάσουν ένα ZIP installer package.
Εκτός από την ενεργοποίηση της τυπικής διαδικασίας εγκατάστασης, ο installer εγκαθιστά στα κρυφά τον κακόβουλο κώδικα Fruity, μια κακόβουλη εφαρμογή βασισμένη σε Python που αποσυμπιέζει ένα αρχείο MP3 (“Idea.mp3”) για να φορτώσει ένα image file (“Fruit.png”) και να ενεργοποιήσει την πολυσταδιακή μόλυνση.
Το Fruity έχει επίσης σχεδιαστεί για να παρακάμπτει την ανίχνευση προστασίας από ιούς στον παραβιασμένο host και να εκκινεί τελικά το Remcos RAT payload χρησιμοποιώντας μια τεχνική που ονομάζεται διαδικασία doppelgänging.
Η ακολουθία επίθεσης θα μπορούσε να εκμεταλλευτείται για να διανέμει κάθε είδους κακόβουλο λογισμικό. Επομένως, είναι απαραίτητο να τηρείτε τον κανόνα να κατεβάζετε λογισμικά μόνο από έμπιστες πηγές.
Η ανάπτυξη έρχεται καθώς η Bitdefender αποκάλυψε λεπτομέρειες μιας εκστρατείας malspam που παραδίδει το κακόβουλο λογισμικό Agent Tesla για τη συλλογή ευαίσθητων δεδομένων από παραβιασμένα endpoints.
Επίσης, ακολουθεί μια άνοδος στις επιχειρήσεις κακόβουλης διαφήμισης που έχουν στοχεύσει πελάτες και επιχειρήσεις με μολυσμένο λογισμικό που ενισχύεται μέσω διαφημίσεων σε μηχανές αναζήτησης.
Αυτό περιλαμβάνει ένα κύμα νέων επιθέσεων που ονομάζεται Nitrogen, κατά την οποία διανέμονται πλαστά αρχεία ISO χρησιμοποιώντας ψεύτικες διαφημίσεις που παριστάνουν σελίδες λήψης για εφαρμογές όπως το AnyDesk, το WinSCP, το Cisco AnyConnect, το Slack και το TreeSize.
Πηγή: senews.gr
