DownEx Malware wykorzystywane w kampanii szpiegowskiej
Rumuńscy badacze cyberbezpieczeństwa odkryli nowy typ złośliwego oprogramowania o nazwie DownEx.
Jest wykorzystywany w wyrafinowanej kampanii szpiegowskiej wymierzonej w organizacje rządowe w Azji Środkowej, a dowody wskazują na udział cyberprzestępców z Rosji. Ataki są przeprowadzane za pośrednictwem e-maili typu spear phishing zawierających pułapkę, która jest przebrana za plik programu Microsoft Word.
Po otwarciu załącznika wyświetlany jest zwodniczy dokument, podczas gdy w tle działa złośliwa aplikacja HTML. Ten plik HTA ma na celu nawiązanie kontaktu ze zdalnym serwerem dowodzenia i kontroli w celu pobrania ładunku następnego etapu, który uważa się za backdoor do ustanowienia trwałości. Atakujący używają również niestandardowych narzędzi do działań poeksploatacyjnych, w tym plików binarnych opartych na C/C++ do wyliczania zasobów sieciowych, skryptu Pythona do otrzymywania instrukcji kradzieży plików, usuwania innego złośliwego oprogramowania i przechwytywania zrzutów ekranu oraz złośliwego oprogramowania opartego na C++ o nazwie DownEx do eksfiltracji plików na serwer C2.
Odkryto również dwa inne warianty DownEx. Badacze zauważyli ponadto, że jest to atak bezplikowy, co oznacza, że szkodliwy skrypt istnieje tylko w pamięci i nigdy nie trafia na dyski ofiary.
Co to jest bezplikowe złośliwe oprogramowanie i co czyni je szczególnie niebezpiecznym?
Złośliwe oprogramowanie bezplikowe to rodzaj złośliwego oprogramowania, które działa w pamięci komputera, nie pozostawiając żadnych śladów na dysku twardym. To sprawia, że jest szczególnie trudny do wykrycia i usunięcia przy użyciu tradycyjnego oprogramowania antywirusowego, ponieważ nie ma plików do przeskanowania. Zamiast polegać na pliku lub pliku wykonywalnym, bezplikowe złośliwe oprogramowanie jest często dostarczane za pomocą technik takich jak socjotechnika, exploity lub złośliwe makra w dokumentach.
Jedną z kluczowych cech bezplikowego złośliwego oprogramowania jest to, że wykorzystuje legalne programy lub narzędzia już obecne w systemie, takie jak PowerShell lub Windows Management Instrumentation (WMI), do wykonywania złośliwych działań. W ten sposób bezplikowe złośliwe oprogramowanie może wtopić się w legalną aktywność systemu i uniknąć wykrycia przez tradycyjne oprogramowanie antywirusowe.
Innym powodem, dla którego bezplikowe złośliwe oprogramowanie jest szczególnie niebezpieczne, jest to, że często może ominąć środki ochrony punktów końcowych, takie jak zapory ogniowe, systemy wykrywania i zapobiegania włamaniom (IDS/IPS) oraz inne narzędzia bezpieczeństwa, które opierają się na sygnaturach plików lub algorytmach dopasowujących wzorce. Dodatkowo, ponieważ nie zapisuje niczego na dysku, może pozostać niewykryty przez dłuższy czas i ma większe szanse na osiągnięcie swoich celów, zanim zostanie wykryty.
Bezplikowe złośliwe oprogramowanie jest często wykorzystywane w atakach ukierunkowanych, takich jak ataki na instytucje finansowe lub inne cele o dużej wartości, których celem jest uzyskanie dostępu do poufnych informacji lub systemów. Może być również używany do bardziej rozpowszechnionych ataków, takich jak kampanie ransomware, w których atakujący chcą zainfekować jak najwięcej systemów.
