DownEx Malware brukt i spionasjekampanje

En ny type skadelig programvare kalt DownEx har blitt oppdaget av rumenske cybersikkerhetsforskere.

Den blir brukt i en sofistikert spionasjekampanje som er rettet mot regjeringsorganisasjoner i Sentral-Asia, med bevis som tyder på involvering av Russland-baserte trusselaktører. Angrepene utføres gjennom spear-phishing-e-poster som inneholder en booby-fanget nyttelast, som er forkledd som en Microsoft Word-fil.

Når vedlegget er åpnet, vises et lokkedokument mens et ondsinnet HTML-program kjører i bakgrunnen. Denne HTA-filen er designet for å etablere kontakt med en ekstern kommando-og-kontrollserver for å hente en nyttelast i neste trinn, som antas å være en bakdør for å etablere utholdenhet. Angriperne bruker også tilpassede verktøy for aktiviteter etter utnyttelse, inkludert C/C++-baserte binærfiler for å telle opp nettverksressurser, et Python-skript for å motta instruksjoner for å stjele filer, slette annen skadelig programvare og ta skjermbilder, og en C++-basert skadelig programvare kalt DownEx for å eksfiltrere filer til C2-serveren.

To andre varianter av DownEx er også oppdaget. Forskere bemerket videre at dette er et filløst angrep, noe som betyr at det ondsinnede skriptet bare eksisterer i minnet og aldri kommer inn på offerets stasjoner.

Hva er filløs skadelig programvare og hva gjør det spesielt farlig?

Filløs skadelig programvare er en type skadelig programvare som opererer i datamaskinens minne, uten å etterlate noen spor på harddisken. Dette gjør det spesielt vanskelig å oppdage og fjerne ved hjelp av tradisjonell antivirusprogramvare fordi det ikke er noen filer å skanne. I stedet for å stole på en fil eller kjørbar, leveres filløs skadelig programvare ofte gjennom teknikker som sosial utvikling, utnyttelser eller ondsinnede makroer i dokumenter.

En av de viktigste egenskapene til filløs skadelig programvare er at den bruker legitime programmer eller verktøy som allerede finnes på systemet, for eksempel PowerShell eller Windows Management Instrumentation (WMI), for å utføre sine ondsinnede aktiviteter. Ved å gjøre dette kan filløs skadelig programvare smelte sammen med legitim systemaktivitet og unngå oppdagelse av tradisjonell antivirusprogramvare.

En annen grunn til at filløs skadelig programvare er spesielt farlig, er at den ofte kan omgå endepunktbeskyttelsestiltak som brannmurer, inntrengningsdeteksjons- og forebyggingssystemer (IDS/IPS) og andre sikkerhetsverktøy som er avhengige av filbaserte signaturer eller mønstersamsvarende algoritmer. I tillegg, fordi den ikke skriver noe til disk, kan den forbli uoppdaget i lengre perioder og har større sjanse for å nå sine mål før den blir oppdaget.

Filløs skadevare brukes ofte i målrettede angrep, for eksempel mot finansinstitusjoner eller andre mål med høy verdi, der målet er å få tilgang til sensitiv informasjon eller systemer. Den kan også brukes til mer utbredte angrep, for eksempel løsepengevarekampanjer, der angriperne er ute etter å infisere så mange systemer som mulig.