Peneliti cybersecurity telah mengungkapkan kampanye jahat baru yang menggunakan situs web palsu yang mengiklankan perangkat lunak antivirus dari bitdefender untuk menipu para korban untuk mengunduh akses jarak jauh Trojan yang disebut Venom Rat.
Kampanye ini menunjukkan “niat yang jelas untuk menargetkan individu untuk keuntungan finansial dengan mengkompromikan kredensial mereka, dompet kripto, dan berpotensi menjual akses ke sistem mereka,” kata tim Domaintools Intelligence (DTI) dalam sebuah laporan baru yang dibagikan dengan berita peretas.
Situs web yang dimaksud, “Bitdefender-Download[.]com, “Mengiklankan pengunjung situs untuk mengunduh versi Windows dari perangkat lunak antivirus. Mengklik tombol” Unduh untuk Windows “yang menonjol memulai unduhan file dari repositori Bitbucket yang mengarahkan kembali ke ember Amazon S3. Akun Bitbucket tidak lagi aktif.
ZIP Archive (“Bitdefender.zip”) berisi yang dapat dieksekusi yang disebut “StoreInstaller.exe,” yang mencakup konfigurasi malware yang terkait dengan Venom Rat, serta kode yang terkait dengan kerangka kerja pasca-eksploitasi open-source Silenttrinity dan Stormkitty Stealer.
Venom Rat adalah cabang dari tikus quasar yang dilengkapi dengan kemampuan untuk memanen data dan memberikan akses jarak jauh yang terus -menerus ke penyerang.
Domaintools mengatakan situs web umpan yang menyamar sebagai bitdefender berbagi temporal dan infrastruktur tumpang tindih dengan domain jahat lainnya bank spoofing dan layanan TI generik yang telah digunakan sebagai bagian dari aktivitas phishing untuk memanen kredensial login yang terkait dengan Royal Bank of Canada dan Microsoft.
“Alat -alat ini bekerja dalam konser: Venom Rat menyelinap masuk, Stormkitty mengambil kata sandi Anda dan info dompet digital, dan SilentTrinity memastikan penyerang dapat tetap tersembunyi dan mempertahankan kendali,” kata perusahaan itu.
“Kampanye ini menggarisbawahi tren yang konstan: penyerang menggunakan malware modular yang canggih yang dibangun dari komponen open-source. Pendekatan” build-own-malware “ini membuat serangan ini lebih efisien, sembunyi-sembunyi, dan mudah beradaptasi.”
Pengungkapan itu datang ketika Sucuri memperingatkan kampanye gaya klik yang mempekerjakan halaman google meet palsu untuk menipu pengguna agar menginstal noanti-vm.bat rat, skrip batch windows yang sangat dikalahkan yang memberikan kendali jarak jauh atas komputer korban.
“Halaman Google Meet palsu ini tidak menyajikan formulir login untuk mencuri kredensial secara langsung,” kata peneliti keamanan Puja Srivastava. “Sebaliknya, ia menggunakan taktik rekayasa sosial, menghadirkan kesalahan mikrofon palsu 'yang ditolak' kesalahan dan mendesak pengguna untuk menyalin dan menempelkan perintah PowerShell tertentu sebagai 'perbaikan.'”
Ini juga mengikuti lonjakan serangan phishing yang mengeksploitasi platform pengembangan no-kode Google Google untuk memasang meta kampanye yang sangat bertarget dan canggih.
“Memanfaatkan taktik canggih seperti pengidentifikasi polimorfik, mekanisme proxy canggih-mid-middle dan teknik bypass otentikasi multi-faktor, para penyerang bertujuan untuk memanen kredensial dan kod-cods yang memungkinkan dalam akuntanasi laboratorium.
Kampanye ini mensyaratkan penggunaan lembar aplikasi untuk mengirimkan email phishing pada skala, memungkinkan para aktor ancaman untuk memotong pertahanan keamanan email seperti SPF, DKIM, dan DMARC karena fakta bahwa pesan tersebut berasal dari domain yang valid (“noreply@appsheet@appsheet[.]com “).
Selain itu, email mengklaim dari dukungan Facebook dan menggunakan peringatan penghapusan akun untuk menipu pengguna agar mengklik tautan palsu dengan dalih mengirimkan banding dalam periode waktu 24 jam. Tautan yang terjebak booby mengarahkan korban ke halaman phishing musuh di tengah-tengah (AITM) yang dirancang untuk memanen kredensial dan kode otentikasi dua faktor (2FA).
“Untuk lebih menghindari deteksi dan memperumit remediasi, para penyerang memanfaatkan fungsionalitas lembar aplikasi untuk menghasilkan ID unik, ditampilkan sebagai ID kasus dalam tubuh email,” kata perusahaan itu.
“Kehadiran pengidentifikasi polimorfik yang unik dalam setiap email phishing memastikan setiap pesan sedikit berbeda, membantu mereka memotong sistem deteksi tradisional yang mengandalkan indikator statis seperti hash atau URL berbahaya yang diketahui.”
