Μια σχετικά πρόσφατη εξελιγμένη επιχείρηση phishing έχει ήδη αποκαλύψει ανησυχητικές πτυχές της κυβερνοασφάλειας, στοχεύοντας χρηματοοικονομικούς οργανισμούς μέσω ψεύτικων σελίδων του Adobe Document Cloud. Η μέθοδος αυτή χρησιμοποιεί λογισμικό απομακρυσμένης πρόσβασης, γνωστό ως ScreenConnect, για να εγκαταστήσει κακόβουλο λογισμικό στα θύματα, αποτελώντας σοβαρή απειλή για επιχειρήσεις στην Ελλάδα.
Η επιχείρηση είναι έξυπνα σχεδιασμένη και αρκετά παραπλανητική, γεγονός που καθιστά δύσκολη την ανίχνευσή της στην καθημερινή εργασία των χρηστών.
Η μέθοδος χρησιμοποιεί μηνύματα ηλεκτρονικού ψαρέματος που φαίνεται να προέρχονται από τοννόμιμο τομέα του Adobe Document Cloud. Τα θύματα ειδοποιούνται ότι ένα εμπιστευτικό έγγραφο τους έχει μεταφορτωθεί και παρέχεται σχετικός σύνδεσμος για τη θέαση του.
Ο σύνδεσμος οδηγεί σε παραβιασμένο ιστότοπο WordPress, ο οποίος φιλοξενεί μια ψεύτικη σελίδα της Adobe σχεδιασμένη να φαίνεται πειστική, προκειμένου οι χρήστες να ενεργοποιήσουν άθελά τους την εγκατάσταση κακόβουλου λογισμικού.
Η ομάδα Fortra’s Intelligence and Research Experts (FIRE) αποκάλυψε αυτή την εξελιγμένη επιχείρηση, αποκαλώντας το κιτ phishing «RatPressto». Το κιτ επιδιώκει να είναι επαναχρησιμοποιήσιμο και ιδιωτικά συντηρημένο, ώστε να ελαχιστοποιούνται οι πιθανότητες ανίχνευσης του από τα εργαλεία ασφαλείας.
Η Fortra ανέφερε σε αναφορά της που κοινοποιήθηκε στο Cyber Security News (CSN) ότι η κατάσταση αυτή διαχειρίζεται από μια ομάδα επιθέσεων στην Βραζιλία, και ενδέχεται να έχει αναπτύξει αυτή την υποδομή στην πόλη του Σάο Πάολο.
Οι χάκερ χρησιμοποιούν ψεύτικες σελίδες του Adobe Document Cloud
Το κιτ RatPressto πραγματικά λειτουργεί σε δύο στάδια με σκοπό την απόσπαση της προσοχής του θύματος. Το πρώτο στάδιο είναι η εκτέλεση μιας ψεύτικης σελίδας της Adobe που αναφέρει ότι η λήψη έχει ολοκληρωθεί, εμπλέκοντας μάλιστα ένα κινούμενο σχέδιο φόρτωσης.
Το δεύτερο στάδιο ασχολείται με ένα κρυφό iframe που ξεκινά τη λήψη ενός αρχείου εγκατάστασης ScreenConnect, χωρίς οι χρήστες να το αντιληφθούν. Τα θύματα καθοδηγούνται στο να ανοίξουν ένα αρχείο, αλλά το εγκατεστημένο κακόβουλο λογισμικό έχει ήδη μεταφορτωθεί στο σύστημα τους.
Μόλις ολοκληρωθεί η εγκατάσταση, το ScreenConnect σιωπηλά αναλαμβάνει τον έλεγχο του μολυσμένου υπολογιστή, συνδέεται σε έναν αυτο-φιλοξενούμενο διακομιστή στον τομέα cloud.zistopstoabetterlife.com στη θύρα 8041.
Ο εισβολέας χρησιμοποιεί πρόσθετες αλληλεπιδράσεις μέσω GitHub και ασαφείς διαδικασίες που διαγράφονται μετά την εκτέλεση, ώστε να καλύψει τα ίχνη του.
Παραβιασμένοι ιστότοποι WordPress στον πυρήνα της επίθεσης
Η καμπάνια εκμεταλλεύεται παραβιασμένους ιστότοπους WordPress, εκθέτοντάς τους σε δημόσιες διαχειριστικές διεπαφές. Αυτό καθιστά οργανισμούς και χρήστες ιδιαίτερα ευάλωτους.
Είναι απαραίτητο οι οργανισμοί να ελέγχουν τα WordPress περιβάλλοντά τους για εκτεθειμένες διεπαφές και να περιορίσουν τη δημόσια πρόσβαση στο wp-admin όπου είναι εφικτό. Επίσης, η επιβολή ελέγχου ταυτότητας πολλαπλών παραγόντων συνιστάται με σκοπό την ενίσχυση της ασφάλειας.
Δείκτες Συμβιβασμού (IoCs)
| Τύπος | Δείκτης | Περιγραφή |
|---|---|---|
| Πεδίο ορισμού | cloud.zistopstoabetterlife.com | Διακομιστής ScreenConnect C2 (θύρα 8041) |
| Πεδίο ορισμού | ampliawifi.com | Διαχειριζόμενος ιστότοπος WordPress |
| Πεδίο ορισμού | gaheempreendimentos.com | Προστασία Cloudflare για ευάλωτο περιβάλλον |
| Διεύθυνση IP | 177.154.191.148 | Ουσία κακόβουλης δραστηριότητας (Σάο Πάολο, Βραζιλία) |
Σημείωση: Οι διευθύνσεις IP και οι τομείς είναι σκόπιμα αλλοιωμένοι (π.χ. [.]) προκειμένου να αποφευχθεί η αυθαίρετη ανάλυση.
