DownEx Malware brugt i spionagekampagne

En ny type malware kaldet DownEx er blevet opdaget af rumænske cybersikkerhedsforskere.

Det bliver brugt i en sofistikeret spionagekampagne, der er rettet mod regeringsorganisationer i Centralasien, med beviser, der tyder på involvering af Rusland-baserede trusselsaktører. Angrebene udføres gennem spear-phishing-e-mails, der indeholder en booby-fanget nyttelast, som er forklædt som en Microsoft Word-fil.

Når den vedhæftede fil er åbnet, vises et lokkedokument, mens et ondsindet HTML-program kører i baggrunden. Denne HTA-fil er designet til at etablere kontakt med en ekstern kommando-og-kontrol-server for at hente en nyttelast i næste trin, som menes at være en bagdør til at etablere persistens. Angriberne bruger også brugerdefinerede værktøjer til aktiviteter efter udnyttelse, inklusive C/C++-baserede binære filer til at opregne netværksressourcer, et Python-script til at modtage instruktioner til at stjæle filer, slette anden malware og tage skærmbilleder og en C++-baseret malware kaldet DownEx at eksfiltrere filer til C2-serveren.

To andre varianter af DownEx er også blevet opdaget. Forskere bemærkede endvidere, at dette er et filløst angreb, hvilket betyder, at det ondsindede script kun eksisterer i hukommelsen og aldrig kommer ind på ofrets drev.

Hvad er filløs malware, og hvad gør det særligt farligt?

Filløs malware er en type ondsindet software, der opererer i en computers hukommelse uden at efterlade spor på harddisken. Dette gør det særligt vanskeligt at opdage og fjerne ved hjælp af traditionel antivirussoftware, fordi der ikke er nogen filer at scanne. I stedet for at stole på en fil eller eksekverbar, leveres filløs malware ofte gennem teknikker som social engineering, udnyttelser eller ondsindede makroer i dokumenter.

En af de vigtigste egenskaber ved filløs malware er, at den bruger legitime programmer eller værktøjer, der allerede findes på systemet, såsom PowerShell eller Windows Management Instrumentation (WMI), til at udføre sine ondsindede aktiviteter. Ved at gøre dette kan filløs malware blande sig med legitim systemaktivitet og undgå at blive opdaget af traditionel antivirussoftware.

En anden grund til, at filløs malware er særlig farlig, er, at den ofte kan omgå foranstaltninger til beskyttelse af slutpunkter såsom firewalls, indtrængningsdetektion og -forebyggelsessystemer (IDS/IPS) og andre sikkerhedsværktøjer, der er afhængige af filbaserede signaturer eller mønstermatchende algoritmer. Derudover, fordi den ikke skriver noget til disken, kan den forblive uopdaget i længere perioder og har en større chance for at nå sine mål, før den bliver opdaget.

Filløs malware bruges ofte i målrettede angreb, såsom dem mod finansielle institutioner eller andre mål af høj værdi, hvor målet er at få adgang til følsomme oplysninger eller systemer. Det kan også bruges til mere udbredte angreb, såsom ransomware-kampagner, hvor angriberne søger at inficere så mange systemer som muligt.