DownEx Malware som används i spionagekampanj
En ny typ av skadlig programvara kallad DownEx har upptäckts av rumänska cybersäkerhetsforskare.
Den används i en sofistikerad spionagekampanj som riktar sig till statliga organisationer i Centralasien, med bevis som tyder på inblandning av Rysslandsbaserade hotaktörer. Attackerna utförs genom spjutfiske-e-postmeddelanden som innehåller en booby-fälld nyttolast, som är förklädd till en Microsoft Word-fil.
När bilagan väl har öppnats visas ett lockbetedokument medan ett skadligt HTML-program körs i bakgrunden. Denna HTA-fil är utformad för att upprätta kontakt med en fjärrstyrd kommando-och-kontrollserver för att hämta en nyttolast i nästa steg, vilket tros vara en bakdörr för att etablera persistens. Angriparna använder också anpassade verktyg för aktiviteter efter exploatering, inklusive C/C++-baserade binärfiler för att räkna upp nätverksresurser, ett Python-skript för att ta emot instruktioner för att stjäla filer, ta bort annan skadlig programvara och fånga skärmdumpar, och en C++-baserad skadlig programvara som heter DownEx för att exfiltrera filer till C2-servern.
Två andra varianter av DownEx har också upptäckts. Forskare noterade vidare att detta är en fillös attack, vilket innebär att det skadliga skriptet bara finns i minnet och aldrig kommer in på offrets enheter.
Vad är fillös skadlig programvara och vad gör den särskilt farlig?
Fillös skadlig programvara är en typ av skadlig programvara som fungerar i en dators minne, utan att lämna några spår på hårddisken. Detta gör det särskilt svårt att upptäcka och ta bort med traditionella antivirusprogram eftersom det inte finns några filer att skanna. Istället för att förlita sig på en fil eller körbar, levereras fillös skadlig programvara ofta genom tekniker som social ingenjörskonst, exploateringar eller skadliga makron i dokument.
En av de viktigaste egenskaperna hos fillös skadlig programvara är att den använder legitima program eller verktyg som redan finns på systemet, såsom PowerShell eller Windows Management Instrumentation (WMI), för att utföra sina skadliga aktiviteter. Genom att göra detta kan fillös skadlig programvara smälta in med legitim systemaktivitet och undvika upptäckt av traditionell antivirusprogramvara.
En annan anledning till att fillös skadlig programvara är särskilt farlig är att den ofta kan kringgå skyddsåtgärder för slutpunkter som brandväggar, intrångsdetektering och förebyggande system (IDS/IPS) och andra säkerhetsverktyg som förlitar sig på filbaserade signaturer eller mönstermatchande algoritmer. Dessutom, eftersom det inte skriver något till disk, kan det förbli oupptäckt under längre perioder och har en större chans att uppnå sina mål innan det upptäcks.
Fillös skadlig programvara används ofta i riktade attacker, till exempel mot finansiella institutioner eller andra högvärdiga mål, där målet är att få tillgång till känslig information eller system. Den kan också användas för mer utbredda attacker, såsom ransomware-kampanjer, där angriparna vill infektera så många system som möjligt.