Лажни Windows ажурирања шират Aurora малициозен софтвер за крадење информации

Неодамна е забележана малициозна кампања која ги мами корисниците со симулација за Windows ажурирања со цел да шири Aurora малициозен софтвер за крадење информации.

Напишан на Golang, Aurora е достапен на различни хакерски форуми повеќе од една година, рекламиран како крадец на информации со широки можности и ниска антивирусна детекција.

Според истражувачите од Malwarebytes, малициозната кампања се потпира на popunder реклами на веб-страници со содржини за возрасни со голема посетеност и ги пренасочува потенцијалните жртви на страница што служи за малициозен софтвер.

Popunder рекламите се евтини „pop-up“ реклами кои се отвораат зад активниот прозорец на прелистувачот, останувајќи скриени од корисникот додека не го затворат или преместат главниот прозорец на прелистувачот.

Во декември минатата година, Google објави дека popunder биле користени во рекламна кампања за измама која собрала стотици илјади посетители и десетици милиони лажни импресии од реклами.

Поновиот забележан од страна на Malwarebytes има многу помало влијание, со близу 30.000 пренасочени корисници и речиси 600 преземени и инсталирани малициозни софтвери за крадење податоци на нивните системи.

Сепак, хакерот дошол до имагинативна идеја каде што popunder прикажува прозорец на прелистувач на цел екран кој симулира екран за Windows системско ажурирање.

Истражувачите следеа повеќе од десетина домени користени во кампањите, многу од нив имитираат веб-страници за возрасни, кои симулирале лажно Windows ажурирање:

activessd[.]ru

chistauyavoda[.]ru

xxxxxxxxxxxxxxx[.]ru

activehdd[.]ru

oled8kultra[.]ru

xhamster-18[.]ru

oled8kultra[.]site

activessd6[.]ru

activedebian[.]ru

shluhapizdec[.]ru

04042023[.]ru

clickaineasdfer[.]ru

moskovpizda[.]ru

pochelvpizdy[.]ru

evatds[.]ru

click7adilla[.]ru

grhfgetraeg6yrt[.]site

Сите тие служеа за преземање датотека со име „ChromeUpdate.exe“, откривајќи ја измамата на екранот на прелистувачот на цел екран; сепак, некои корисници сè уште беа измамени да ја применат малициозната извршна датотека.

Наводниот Chrome ажурирач таканаречен „целосно незабележлив“ (FUD) вчитувач на малициозен софтвер наречен „Invalid Printer“ се користи исклучиво од овој конкретен хакер.

Malwarebytes изјави дека кога неговите аналитичари откриле „Invalid Printer“, ниту еден антивирусен енџин на Virus Total не го означил како малициозен. Сепак, откривањето почна да се зголемува неколку недели подоцна, по објавувањето на релевантен извештај од страна на Morphisec.

Invalid Priner прво ја проверува графичката картичка на домаќинот за да утврди дали работи на виртуелна машина или во sandbox околина. Ако не, отпакува и лансира копија од Aurora крадецот на информации, открија истражувачите.

Malwarebytes коментира дека хакерот зад оваа кампања е особено заинтересиран за создавање алатки кои тешко се откриваат и тие постојано поставуваат нови примероци на Virus Total за да проверат како се справуваат со енџините за детекција.

Jerome Segura, директор на threat intelligence во Malwarebytes, забележал дека секој пат кога нов примерок првпат бил доставен до Virus Total тој доаѓа од корисник во Турција и дека „во многу случаи името на датотеката изгледало како да е свежо од компајлерот (т.е. build1_enc_s.exe).“

Понатамошната истрага откри дека хакерот користи и Amadey панел, што потенцијално укажува на употреба на добро документирана алатка за извидување и вчитување на малициозен софтвер, а исто така спроведува измами за техничка поддршка кои ги таргетираат Украинците.

Malwarebytes обезбедува техничка анализа на инсталацијата и однесувањето на малициозниот софтвер заедно со збир на индикатори за компромис што компаниите и продавачите на безбедност може да ги користат за да ги одбранат своите корисници.

Извор: BleepingComputer

Check Also

Cisco издава лепенка за грешка при киднапирање на VPN со висока сериозност кај безбеден клиент

Cisco објави закрпи за да се справи со безбедносниот пропуст со висока сериозност што влијае …