Specjaliści zajmujący się cyberbezpieczeństwem opisali szeroko zakrojone kampanie phishingowe wymierzone w małe i średnie przedsiębiorstwa (MŚP) w Polsce w maju 2024 r., które doprowadziły do wdrożenia kilku rodzin złośliwego oprogramowania, takich jak Agent Tesla , Formbook i Remcos RAT. Według firmy zajmującej się cyberbezpieczeństwem ESET, kampanie te objęły także Włochy i Rumunię.
„Atakujący wykorzystali wcześniej naruszone konta e-mail i serwery firmowe nie tylko do rozprzestrzeniania złośliwych wiadomości e-mail, ale także do hostowania złośliwego oprogramowania i zbierania skradzionych danych” — powiedział Jakub Kaloč, badacz ESET , w raporcie opublikowanym dzisiaj.
Kampanie te, obejmujące dziewięć fal, wyróżniają się wykorzystaniem programu ładującego złośliwe oprogramowanie o nazwie DBatLoader (znanego również jako ModiLoader i NatsoLoader).
Jak twierdzi słowacka firma zajmująca się cyberbezpieczeństwem, stanowi to odejście od poprzednich ataków zaobserwowanych w drugiej połowie 2023 r., w których wykorzystano usługę kryptograficzną (CaaS) o nazwie AceCryptor do rozprzestrzeniania Remcos RAT (znanego również jako Rescoms).
„W drugiej połowie [2023 r.] Rescoms stał się najpowszechniejszą rodziną złośliwego oprogramowania pakowaną przez AceCryptor” — zauważył ESET w marcu 2024 r. „Ponad połowa tych prób miała miejsce w Polsce, a następnie w Serbii, Hiszpanii, Bułgarii i Słowacji”.
Punktem wyjścia ataków były wiadomości e-mail phishingowe zawierające zainfekowane złośliwym oprogramowaniem załączniki RAR lub ISO, które po otwarciu uruchamiały wieloetapowy proces pobierania i uruchamiania trojana.
W przypadkach, gdy dołączono plik ISO, prowadziło to bezpośrednio do wykonania DBatLoader. Z drugiej strony archiwum RAR zawierało zaciemniony skrypt wsadowy Windows zawierający plik wykonywalny ModiLoader zakodowany w Base64, który jest ukryty jako lista odwołań certyfikatów zakodowana w PEM .
DBatLoader to oparty na środowisku Delphi program do pobierania i uruchamiania złośliwego oprogramowania następnej generacji z Microsoft OneDrive lub zainfekowanych serwerów należących do legalnych firm.
Niezależnie od tego, jakie złośliwe oprogramowanie jest wdrażane, Agent Tesla, Formbook i Remcos RAT są wyposażone w funkcje umożliwiające wykradanie poufnych informacji, co pozwala sprawcom zagrożeń „przygotować grunt pod kolejne kampanie”.
Informacje te pojawiły się po ujawnieniu przez firmę Kaspersky faktu, że małe i średnie firmy coraz częściej padają ofiarą cyberprzestępców ze względu na brak solidnych środków bezpieczeństwa cybernetycznego oraz ograniczone zasoby i wiedzę specjalistyczną.
„Ataki trojanów pozostają najczęstszym zagrożeniem cybernetycznym, co wskazuje, że atakujący nadal biorą na celownik małe i średnie firmy oraz preferują złośliwe oprogramowanie zamiast niechcianego oprogramowania” – poinformował w zeszłym miesiącu rosyjski dostawca oprogramowania zabezpieczającego.
„Trojany są szczególnie niebezpieczne, ponieważ naśladują legalne oprogramowanie, co utrudnia ich wykrycie i zapobieganie im. Ich wszechstronność i zdolność do omijania tradycyjnych środków bezpieczeństwa sprawiają, że są powszechnym i skutecznym narzędziem dla cyberprzestępców”.