Campo Loader dostarcza ofiarom z Japonii dodatkowe złośliwe oprogramowanie
Kolejna kampania dotycząca cyberprzestępczości jest wymierzona w użytkowników i organizacje w Japonii. Eksperci podejrzewają, że złośliwe ataki miały miejsce od października 2020 r., Ale zostały zidentyfikowane i przeanalizowane dopiero około marca 2021 r. Przestępcy stojący za tym atakiem używają nowego złośliwego implantu śledzonego pod pseudonimem Campo Loader. Zagrożenie to ma na celu ominięcie podstawowych reguł i usług bezpieczeństwa sieci, a następnie wdrożenie dodatkowego ładunku w zaatakowanej sieci.
Początkowy wektor infekcji, na którym polegają przestępcy, nie jest zaskoczeniem - używają wiadomości phishingowych napisanych w języku japońskim. Zwykle odbiorca jest proszony o pobranie i przejrzenie załącznika. Osoby atakujące podjęły próbę zabezpieczenia załączonych archiwów hasłem, przez co użytkownicy mają wrażenie, że załącznik zawiera ważne informacje. Po pobraniu i uruchomieniu szkodliwego pliku Campo Loader zostanie umieszczony w ukrytym katalogu. Zapewni sobie również trwałość, modyfikując rejestr systemu Windows bez zgody użytkownika.
Jak dotąd osoby atakujące wykorzystywały szeroką gamę dodatkowych ładunków, które służą różnym celom. Ich plany wydają się raczej chaotyczne, sądząc po typach szkodliwego oprogramowania, którego używają - Trojan TrickBot, Phobos Ransomware, Ursnif i Cobalt Strike. Przestępcy używają również skomplikowanego zestawu serwerów do zarządzania aktywnymi implantami. Co zaskakujące, niektóre serwery znajdują się w Japonii, ale większa część z nich jest rozproszona po całym świecie.
Jak więc można się zabezpieczyć przed Campo Loader i podobnym złośliwym oprogramowaniem? Użytkownicy nigdy nie powinni wchodzić w interakcje z nieznanymi wiadomościami e-mail, zwłaszcza jeśli nalegają na przekonanie ich do pobrania i uruchomienia pliku załącznika. Złośliwe załączniki do wiadomości e-mail są najczęściej używaną metodą rozprzestrzeniania złośliwego oprogramowania, dlatego do nieoczekiwanych wiadomości e-mail należy zawsze podchodzić z ostrożnością. Ponadto zaleca się zabezpieczenie sieci przez oprogramowanie antywirusowe i zaporę ogniową innych firm, które może w ogóle uniemożliwić działanie zagrożeń, takich jak Campo Loader. Inny niedawny atak w regionie dotyczył złośliwego oprogramowania SmsSpy dla Androida .