Μία νέα καμπάνια malware, που σχεδιάστηκε για την εγκατάσταση κακόβουλου λογισμικού που παρέχει απομακρυσμένη πρόσβαση στις συσκευές των θυμάτων της, υποδύεται ότι ενδιαφέρεται να αγοράσει ιστότοπους.
Η διεύθυνση IP του email που στέλνεται στις διάφορες εταιρείες, φαίνεται να ανήκει σε εταιρεία εικονικών διακομιστών του Ηνωμένου Βασιλείου. Αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου προσποιείται ότι προέρχεται από έναν επιχειρηματία, που ενδιαφέρεται να επενδύσει ή να αγοράσει έναν ιστότοπο.
Το email λέει τα εξής:
«Γεια σας, είμαστε μια ομάδα επιχειρηματικών κεφαλαίων που επενδύουμε σε πολλά υποσχόμενα έργα. Είδαμε τον ιστότοπό σας και μείναμε έκπληκτοι από το προϊόν σας. Θέλουμε να συζητήσουμε την ευκαιρία να επενδύσουμε ή να αγοράσουμε ένα μέρος του έργου σας. Επικοινωνήστε μαζί μας τηλεφωνικά ή μέσω συνομιλίας Vuxner. Ο ατζέντης σας είναι ο Philip Bennett. Το όνομα χρήστη του στο Vuxner είναι philipbennett. Επικοινωνήστε μαζί μας το συντομότερο δυνατόν γιατί συνήθως δεν είμαστε τόσο γενναιόδωροι με τις προσφορές μας. Ευχαριστώ εκ των προτέρων!»
Η εφαρμογή ‘Vuxner’, φαίνεται να έχει μια καλοσχεδιασμένη και νόμιμη εμφάνιση vuxner[.]com, με έναν ιστότοπο που προωθεί το “Vuxner Chat – Επόμενο επίπεδο απορρήτου με δωρεάν ανταλλαγή άμεσων μηνυμάτων“.
- Ωστόσο η λήψη του, εγκαθιστά στην πραγματικότητα την εφαρμογή ανταλλαγής μηνυμάτων “Trillian” και στη συνέχεια κατεβάζει περαιτέρω κακόβουλο λογισμικό στον υπολογιστή αφού ολοκληρώσει την εγκατάσταση του Trillian.
Οι ερευνητές της Cluster25, εξηγούν σε μια αναφορά ότι το Vuxner[.]com φιλοξενείται πίσω από το Cloudflare, ωστόσο προσδιόρισαν την πραγματική διεύθυνση του διακομιστή φιλοξενίας στο 86.104.15[.]123.
Οι ερευνητές δηλώνουν ότι το πρόγραμμα Vuxner Chat χρησιμοποιείται ως δόλωμα για την εγκατάσταση ενός λογισμικού απομακρυσμένης επιφάνειας εργασίας γνωστό ως RuRAT, το οποίο χρησιμοποιείται ως trojan απομακρυσμένης πρόσβασης.
Μόλις ένας χρήστης εγκαταστήσει το πρόγραμμα-πελάτη Vuxner Trillian και εξέλθει από το πρόγραμμα εγκατάστασης, θα πραγματοποιήσει λήψη και εκτέλεση ενός εκτελέσιμου αρχείου Setup.exe [VirusTotal] από τη διεύθυνση https://vuxner[.]com/setup.exe
Όταν τελειώσει, θα μείνει στο θύμα ένας φάκελος C:\swrbldin γεμάτος με μια ποικιλία από αρχεία δέσμης, σενάρια VBS και άλλα αρχεία που χρησιμοποιούνται για την εγκατάσταση του RuRAT στη συσκευή.
Περιέργως, η εγκατάσταση του RAT ζητάει επιβεβαίωση. Αυτή η προτροπή είναι καμπανάκι ότι κάτι κακό συμβαίνει και θα πρέπει να προκαλεί άμεση υποψία όταν εμφανίζεται.
Σύμφωνα με την Cluster25, οι παράγοντες απειλής χρησιμοποιούν αυτήν την επίθεση για να αποκτήσουν αρχική πρόσβαση σε μια συσκευή και στη συνέχεια να πάρουν τον έλεγχο του κεντρικού υπολογιστή.
Μόλις ελέγξουν τον κεντρικό υπολογιστή, μπορούν να αναζητήσουν διαπιστευτήρια και ευαίσθητα δεδομένα ή να χρησιμοποιήσουν τη συσκευή ως επιφάνεια εκκίνησης για να εξαπλωθούν πλευρικά σε ένα δίκτυο.
Για αυτόν τον λόγο, όλοι οι ιδιοκτήτες επιχειρήσεων και οι καταναλωτές πρέπει να είναι προσεκτικοί με τυχόν ασυνήθιστα μηνύματα ηλεκτρονικού ταχυδρομείου που αναφέρουν ότι πρέπει να κατεβάσετε κάτι για να επικοινωνήσετε μαζί τους.
