Πάνω από 28.000 άτομα από τη Ρωσία, την Τουρκία, την Ουκρανία και άλλες χώρες της ευρασιατικής περιοχής επηρεάστηκαν από μια μεγάλης κλίμακας εκστρατεία κακόβουλου λογισμικού για κλοπή κρυπτονομισμάτων.
Η καμπάνια κακόβουλου λογισμικού μεταμφιέζεται ως νόμιμο λογισμικό που προωθείται μέσω βίντεο YouTube και δόλιων αποθετηρίων GitHub όπου τα θύματα κατεβάζουν αρχεία που προστατεύονται με κωδικό πρόσβασης που προκαλούν τη μόλυνση.
Σύμφωνα με την εταιρεία κυβερνοασφάλειας Dr. Web, η καμπάνια χρησιμοποιεί πειρατικό λογισμικό που σχετίζεται με το γραφείο, εξαπατήσεις παιχνιδιών και εισβολές, ακόμη και αυτοματοποιημένα bot συναλλαγών για να εξαπατήσει τους χρήστες να κατεβάσουν κακόβουλα αρχεία.
“Συνολικά, αυτή η εκστρατεία κακόβουλου λογισμικού έχει επηρεάσει περισσότερους από 28.000 ανθρώπους, η συντριπτική πλειοψηφία των οποίων είναι κάτοικοι της Ρωσίας.” είπε ο Δρ Web.
Σημαντικός αριθμός μολύνσεων έχει επίσης παρατηρηθεί στη Λευκορωσία, το Ουζμπεκιστάν, το Καζακστάν, την Ουκρανία, το Κιργιστάν και την Τουρκία».
Πηγή: Dr. Web
Αλυσίδα μόλυνσης
Η μόλυνση ξεκινά με το άνοιγμα ενός αρχείου αυτοεξαγωγής που αποφεύγει τις σαρώσεις προστασίας από ιούς κατά τη λήψη καθώς προστατεύεται με κωδικό πρόσβασης.
Αφού το θύμα εισαγάγει τον παρεχόμενο κωδικό πρόσβασης, το αρχείο απορρίπτει διάφορα ασαφή σενάρια, αρχεία DLL και έναν διερμηνέα AutoIT που χρησιμοποιείται για την εκκίνηση του ψηφιακά υπογεγραμμένου φορτωτή του κύριου ωφέλιμου φορτίου.
Το κακόβουλο λογισμικό ελέγχει την παρουσία εργαλείων εντοπισμού σφαλμάτων για να δει εάν εκτελείται στο περιβάλλον ενός αναλυτή και τερματίζει εάν εντοπιστούν.
Στη συνέχεια, εξάγει τα αρχεία που απαιτούνται για τα επόμενα στάδια της επίθεσης και στη συνέχεια χρησιμοποιεί την τεχνική Image File Execution Options (IFEO) για να τροποποιήσει το μητρώο των Windows για διατήρηση.
Εν ολίγοις, παραλαμβάνει τις νόμιμες υπηρεσίες συστήματος των Windows καθώς και τις διαδικασίες ενημέρωσης του Chrome και του Edge με κακόβουλες, έτσι τα αρχεία κακόβουλου λογισμικού εκτελούνται κατά την εκκίνηση αυτών των διαδικασιών.
Η υπηρεσία αποκατάστασης των Windows είναι απενεργοποιημένη και τα δικαιώματα “διαγραφής” και “τροποποίησης” στα αρχεία και τους φακέλους του κακόβουλου λογισμικού ανακαλούνται για να αποτραπούν απόπειρες εκκαθάρισης.
Από εκεί και πέρα, το βοηθητικό πρόγραμμα δικτύου Ncat χρησιμοποιείται για τη δημιουργία επικοινωνίας με τον διακομιστή εντολών και ελέγχου (C2).
Το κακόβουλο λογισμικό μπορεί επίσης να συλλέξει πληροφορίες συστήματος, συμπεριλαμβανομένης της εκτέλεσης διαδικασιών ασφαλείας, τις οποίες διεισδύει μέσω ενός bot Telegram.
Πηγή: Dr. Web
Δημοσιονομικές επιπτώσεις
Η καμπάνια παραδίδει δύο βασικά ωφέλιμα φορτία στα μηχανήματα των θυμάτων. Το πρώτο είναι το “Deviceld.dll”, μια τροποποιημένη βιβλιοθήκη .NET που χρησιμοποιείται για την εκτέλεση του SilentCryptoMiner, το οποίο εξορύσσει κρυπτονομίσματα χρησιμοποιώντας τους υπολογιστικούς πόρους του θύματος.
Το δεύτερο ωφέλιμο φορτίο είναι το “7zxa.dll”, μια τροποποιημένη βιβλιοθήκη 7-Zip που λειτουργεί ως αποκοπή, παρακολουθώντας το πρόχειρο των Windows για αντιγραμμένες διευθύνσεις πορτοφολιού και αντικαθιστώντας τις με διευθύνσεις υπό τον έλεγχο του εισβολέα.
Ο Δρ Web δεν διευκρίνισε στην έκθεση τα πιθανά κέρδη εξόρυξης από τα 28.000 μολυσμένα μηχανήματα, αλλά διαπίστωσε ότι μόνο ο κουρευτής είχε πειρατεύσει συναλλαγές αξίας 6.000 $, εκτρέποντας το ποσό στις διευθύνσεις του εισβολέα.
Για να αποφύγετε απροσδόκητες οικονομικές απώλειες, πραγματοποιήστε λήψη λογισμικού μόνο από τον επίσημο ιστότοπο του έργου και αποκλείστε ή παραλείψτε τα προωθούμενα αποτελέσματα στην Αναζήτηση Google.
Επιπλέον, να είστε προσεκτικοί με τους κοινόχρηστους συνδέσμους στο YouTube ή στο GitHub, καθώς η νομιμότητα αυτών των πλατφορμών δεν εγγυάται την ασφάλεια του προορισμού λήψης.
VIA: bleepingcomputer.com
