Cyberattakk
Stygg ekstern trojan rettet mot luftfarts- og reisenæringen.

Annonse


Sofistikerte datatyver: Tilslører skadelig kode i harmløs kode

Phishing-e-post med pdf-vedlegg distribueres målrettet mot luftfarts- og reisesektoren. Hvis mottagerne åpner vedlegget laster det ned RevengeRAT eller AsyncRAT, en skadelig visual basic-fil. Sikkerhetsfirmaet Morphisec sier at det også laster ned RAT-agenten Tesla.

Passord, webkamera- og nettleserdata stjeles

Kampanjen bruker e-postmeldinger som tilsynelatende er sendt fra legitime organisasjoner. De har innhold som er relevant for luftfart, reise og transport. En pdf-fil laster ned et ondsinnet VB-script med RAT-innhold.

Microsoft

Sikkerhetsfirmaet Morphisec har kalt denne kryptortjenesten “Snip3” etter et brukernavn de fant i tidligere varianter programvaren. En kryptor er et verktøy designet for å tilsløre skadelig kode i tilsynelatende harmløs kode.

Kjør sandkasse!

Snip3 er konfigurert til ikke å laste inn en RAT hvis den oppdager at den blir kjørt i Windows Sandbox – en sikkerhetsfunksjon for virtuell maskin som Microsoft introduserte i 2018. Den tillater avanserte brukere å kjøre potensielt ondsinnede filer i en “sandkasse” som ikke påvirker operativsystemet.

Hvis skriptet identifiserer et virtuelt maskinmiljø à la Sandbox avslutter det seg selv uten å laste ned RAT. Men så snart en RAT er installert kobler den seg opp og laster ned mer skadelig programvare.

Annonse


RAT-ene er kjent for å stjele legitimasjon, skjermbilder og webkamadata, nettleser- og utklippstavledata, system- og nettverksdata og exfiltrerer data ofte via SMTP-port 587.

Tidligere assosiert med nordkoreanske hackere

DetectSandboxie brukes i RevengeRAT- og AsyncRAT. Metoden har også tidligere vært assosiert med annen skadelig programvare som WannaCry og QuasarRAT. WannaCry ransomware spredte seg over hele verden i 2017 og ble godskrevet nordkoreanske hackere. QuasarRAT ble i 2018 brukt for å stjele data – inkludert påloggingsinformasjon og lydopptak av omgivelsene fra den ukrainske regjeringen.

Kilde: Morphisec

Annonse


Annonse


Annonse


Annonse