Az APT28 felszabadítja a SkinnyBoy kártékony programot

Az APT28 vagy a Fancy Bear más néven nyomon követett orosz Advanced Persistent Threat (APT) csoport nemrégiben egy új kártevő szoftvert adott ki a vadonba. A SkinnyBoy névre keresztelt rosszindulatú programot 2021-ben számos kormányzati intézmény ellen használták fel. Úgy tűnik, hogy a bűnözők külügyi, katonai és védelmi, valamint külföldi nagykövetségekkel kapcsolatos egységeket céloztak meg. Míg a támadások egy része az Európai Unió tagállamait célozta meg, a SkinnyBoy kártevőt az Egyesült Államok szervezeteihez tartozó, veszélyeztetett hálózatokon is felfedezték.

De mit csinál pontosan a SkinnyBoy Malware? Ezt a fenyegetést általában egy lándzsás adathalász e-mailben küldik el, amely egy Microsoft Word dokumentumot tartalmaz. Bár a fájlmelléklet jogosnak tűnhet, valójában egy rosszindulatú parancsfájlt csomagol, amely kibontja és inicializálja a rosszindulatú programok letöltőjét. A bűnözők valószínűleg megváltoztatják az adathalász e-mail címet a címzett alapján - gyakran úgy tettek, mintha értesítenék a felhasználót egy közelgő nemzetközi eseményre váró meghívóról.

A fenyegetés sikeres telepítése után nem indul azonnal. Ehelyett a SkinnyBoy kártevő programozza a Windows rendszert a következő indításkor. A késleltetett végrehajtás tipikus trükk, amelyet a kiberbűnözők használnak az észlelés elkerülése érdekében. A futtatás után a SkinnyBoy kártevő a Windows törvényes funkcióit használja fel a rendszer sérült szoftverkonfigurációjával kapcsolatos adatok lekérésére - systeminfo.exe és tasklist.exe. Ezen kívül megpróbál további hasznos terheléseket letölteni és elindítani, de ezeket eddig nem sikerült azonosítani.

Úgy tűnik, hogy a SkinnyBoy Malware elsődleges célja a kémkedés és a nagyobb ellenőrzés megszerzése a veszélyeztetett rendszer / hálózat felett. Szerencsére a víruskereső termékek gyártói már tisztában vannak az új fenyegetéssel, és a szoftverük legfrissebb javításainak többnek kell lenniük ahhoz, hogy visszatartsák a SkinnyBoy Malware támadását.