Το κακόβουλο λογισμικό LPEClient δρα ως Infostealer

Το κακόβουλο λογισμικό γνωστό ως LPEClient εμφανίστηκε το 2020 ως αναγνωρισμένη απειλή. Ο πρωταρχικός του σκοπός είναι να διεισδύσει στα συστήματα των θυμάτων, να συλλέξει πληροφορίες και στη συνέχεια να ανακτήσει επιπλέον κακόβουλα φορτία από έναν απομακρυσμένο διακομιστή. Αυτά τα ωφέλιμα φορτία εκτελούνται στη μνήμη του υπολογιστή, επιτρέποντάς τους να λειτουργούν κρυφά και να αποφεύγουν τον εντοπισμό.

Το LPEClient έχει ιστορικό τεκμηρίωσης σε ειδοποιήσεις για την ασφάλεια στον κυβερνοχώρο, αλλά πρόσφατα υποβλήθηκε σε βελτιώσεις με στόχο την αναβάθμιση της πολυπλοκότητας και της υπεκφυγής του. Τα άτομα που είναι υπεύθυνα για την ανάπτυξή του έχουν εργαστεί επιμελώς για να το κάνουν λιγότερο εμφανές και πιο ανθεκτικό στην ανίχνευση.

Το LPEClient διαδραματίζει κεντρικό ρόλο στις δραστηριότητες στον κυβερνοχώρο του ομίλου Lazarus. Χρησιμεύει ως το αρχικό τους εργαλείο για την παραβίαση ενός υπολογιστή-στόχου. Μόλις μπει, συλλέγει πληροφορίες για το θύμα και διευκολύνει την παράδοση πιο επιβλαβούς λογισμικού. Με την πάροδο του χρόνου, ο όμιλος Lazarus έχει χρησιμοποιήσει το LPEClient σε διάφορες επιθέσεις, με ιδιαίτερη έμφαση σε εργολάβους άμυνας και πυρηνικούς μηχανικούς.

Σε μια περίπτωση, εξαπάτησαν τα θύματα να κατεβάσουν το LPEClient μεταμφιέζοντάς το ως λογισμικό VNC ή Putty, με αποτέλεσμα μια ενδιάμεση μόλυνση. Σε μια πιο πρόσφατη επίθεση τον Ιούλιο του 2023, η ομάδα στόχευσε τη βιομηχανία κρυπτονομισμάτων για οικονομικό όφελος, χρησιμοποιώντας ένα άλλο κομμάτι κακόβουλου λογισμικού που ονομάζεται Gopuram. Αυτό σχετίστηκε με επίθεση στην αλυσίδα εφοδιασμού στο 3CX.

Αυτό που είναι αξιοσημείωτο είναι ότι, παρά την εισαγωγή ενός νέου εργαλείου, η ομάδα εξακολουθούσε να βασίζεται στο LPEClient για την παράδοση του τελικού κακόβουλου λογισμικού της. Αυτό υπογραμμίζει τη συνεχιζόμενη σημασία του LPEClient στη στρατηγική επίθεσης για το 2023, ακόμη και όταν τροποποιούν τις αρχικές μεθόδους επίθεσης.

Ποιοι είναι οι λιγότερο προφανείς κίνδυνοι που συνδέονται με το Infostealing Malware;

Το κακόβουλο λογισμικό πληροφοριακής κλοπής εγκυμονεί αρκετούς λιγότερο προφανείς κινδύνους πέρα από την άμεση κλοπή προσωπικών ή ευαίσθητων πληροφοριών. Αυτοί οι κίνδυνοι μπορεί να έχουν εκτεταμένες συνέπειες τόσο για άτομα όσο και για οργανισμούς. Ακολουθούν μερικοί από τους λιγότερο εμφανείς κινδύνους που σχετίζονται με την κλοπή πληροφοριών κακόβουλου λογισμικού:

• Συγκέντρωση δεδομένων για μελλοντικές επιθέσεις: Το κακόβουλο λογισμικό πληροφορικής κλοπής συχνά συγκεντρώνει όχι μόνο τρέχοντα δεδομένα αλλά αποθηκεύει και ιστορικές πληροφορίες. Αυτό επιτρέπει στους εγκληματίες του κυβερνοχώρου να δημιουργούν ολοκληρωμένα προφίλ θυμάτων με την πάροδο του χρόνου. Τέτοια προφίλ μπορούν να χρησιμοποιηθούν για την εκτόξευση πολύ στοχευμένων επιθέσεων, συμπεριλαμβανομένων καμπανιών κοινωνικής μηχανικής ή spear-phishing.
• Κλοπή ταυτότητας: Τα κλεμμένα προσωπικά στοιχεία, όπως αριθμοί κοινωνικής ασφάλισης, στοιχεία διαβατηρίου και ημερομηνίες γέννησης, μπορούν να χρησιμοποιηθούν για κλοπή ταυτότητας. Οι εγκληματίες μπορεί να ανοίξουν δόλιους λογαριασμούς, να υποβάλουν αίτηση για δάνεια ή να διεξάγουν παράνομες δραστηριότητες στο όνομα του θύματος, με αποτέλεσμα οικονομικές και νομικές συνέπειες.
• Ζημιά στη φήμη: Όταν κλαπούν ευαίσθητες ή ενοχλητικές πληροφορίες, μπορούν να χρησιμοποιηθούν για τον εκβιασμό των θυμάτων. Οι απειλές δημόσιας αποκάλυψης μπορούν να βλάψουν την προσωπική και επαγγελματική φήμη, προκαλώντας ψυχολογική και συναισθηματική δυσφορία.
• Εταιρική κατασκοπεία: Οι οργανισμοί μπορεί να υποστούν σημαντική ζημιά όταν το κακόβουλο λογισμικό πληροφορικής διεισδύει στα δίκτυά τους. Ανταγωνιστικές εταιρείες ή έθνη-κράτη ενδέχεται να χρησιμοποιήσουν κλεμμένες ιδιόκτητες πληροφορίες για να αποκτήσουν ανταγωνιστικό πλεονέκτημα ή να υπονομεύσουν τις λειτουργίες του οργανισμού-θύματος.
• Οικονομική Απώλεια: Το κακόβουλο λογισμικό πληροφοριακής κλοπής μπορεί να διευκολύνει μη εξουσιοδοτημένες οικονομικές συναλλαγές κλέβοντας πληροφορίες τραπεζικής ή κάρτας πληρωμής. Τα θύματα ενδέχεται να υποστούν οικονομικές απώλειες που δεν είναι άμεσα εμφανείς, καθώς οι εγκληματίες του κυβερνοχώρου μπορεί να εξαντλήσουν λογαριασμούς ή να κάνουν δόλιες αγορές με την πάροδο του χρόνου.
• Συνέπειες υγειονομικής περίθαλψης: Στην περίπτωση κακόβουλου λογισμικού κλοπής ιατρικών πληροφοριών, ο παραβιασμός των αρχείων υγειονομικής περίθαλψης μπορεί να έχει σοβαρές συνέπειες. Οι ψευδείς ιατρικές πληροφορίες στο αρχείο ενός ασθενούς μπορεί να οδηγήσουν σε λανθασμένη διάγνωση ή λανθασμένη θεραπεία, θέτοντας σε κίνδυνο την υγεία και την ευημερία των ασθενών.