Campo Loader leverer ekstra skadelig programvare til japanske ofre
Nok en annen nettkriminalitetskampanje er rettet mot brukere og organisasjoner i Japan. Eksperter mistenker at de ondsinnede angrepene har funnet sted siden oktober 2020, men de ble bare identifisert og analysert rundt mars 2021. Kriminelle bak dette angrepet bruker et nytt ondsinnet implantat sporet under aliaset Campo Loader. Denne trusselen er designet for å omgå grunnleggende nettverkssikkerhetsregler og -tjenester og deretter distribuere en sekundær nyttelast på det kompromitterte nettverket.
Den første infeksjonsvektoren som kriminelle stoler på, er ikke en overraskelse - de bruker phishing-e-poster skrevet på japansk. Vanligvis blir mottakeren bedt om å laste ned og gjennomgå et vedlegg. Angriperne har gjort et forsøk på å passordbeskytte de vedlagte arkivene, og etterlater derfor brukerne inntrykk av at vedlegget inneholder viktig informasjon. Når den ondsinnede filen er lastet ned og lansert, blir Campo Loader plantet i en skjult katalog. Det vil også gi seg utholdenhet ved å endre Windows-registret uten brukerens godkjennelse.
Så langt har angriperne brukt et bredt spekter av sekundære nyttelaster, som tjener forskjellige formål. Planene deres ser ut til å være ganske kaotiske, å dømme etter hvilke typer skadelig programvare de bruker - TrickBot Trojan, Phobos Ransomware, Ursnif og Cobalt Strike. Kriminelle bruker også et komplisert sett med servere for å kommandere aktive implantater. Overraskende nok ligger noen av serverne i Japan, men den største delen av dem er spredt over hele verden.
Så, hvordan beskytter man seg mot Campo Loader og lignende skadelig programvare? Brukere skal aldri samhandle med ukjente e-poster, spesielt hvis de insisterer på å overbevise dem om å laste ned og starte et vedlegg til filer. Ondsinnede e-postvedlegg er den mest brukte metoden for å spre skadelig programvare, så du bør alltid nærme deg uventede e-postmeldinger med forsiktighet. Videre anbefales det å holde nettverket ditt beskyttet av tredjeparts antivirus- og brannmurprogramvare, som kan forhindre at trusler som Campo Loader kjører i det hele tatt. Et nytt nylig angrep i regionen involverte SmsSpy Android Malware .