Μια εξελιγμένη εκστρατεία κλοπής διαπιστευτηρίων που βασίζεται σε ένα εργαλείο που ονομάζεται VIP Keylogger έχει αναδειχθεί ως σοβαρή απειλή για οργανισμούς και άτομα.
Σε αντίθεση με το συμβατικό κακόβουλο λογισμικό που ρίχνει αρχεία στον σκληρό δίσκο του θύματος, αυτό το keylogger εκτελείται εξ ολοκλήρου στη μνήμη, καθιστώντας πολύ πιο δύσκολο τον εντοπισμό των παραδοσιακών εργαλείων ασφαλείας.
Η καμπάνια εντοπίστηκε για πρώτη φορά μέσω ύποπτης δραστηριότητας ηλεκτρονικού ταχυδρομείου στο VirusTotal, όπου ένα παραπλανητικό μήνυμα ώθησε τους παραλήπτες να ανοίξουν κάτι που φαινόταν ως τυπική παραγγελία αγοράς.
Αυτό το συνημμένο ήταν στην πραγματικότητα ένα αρχείο RAR που περιείχε ένα κακόβουλο εκτελέσιμο αρχείο με το όνομα ÜRÜN ÇİZİMİ VE TEKNİK ÖZELLİKLERİ_xlsx.exe, το οποίο εξήγαγε σιωπηλά και εκτελούσε το VIP Keylogger απευθείας στη μνήμη χωρίς να αγγίξει το δίσκο.
.webp.jpeg)
Αυτό που κάνει αυτή την εκστρατεία πιο ανησυχητική είναι η κλίμακα της. Βρέθηκαν πολλές περιπτώσεις που στόχευαν θύματα σε διαφορετικές χώρες, με τους εισβολείς να προσαρμόζουν μόνο το στυλ συσκευασίας και να κάνουν μικρές αλλαγές στη ροή εκτέλεσης.
Το βασικό ωφέλιμο φορτίο, ωστόσο, παρέμεινε σταθερό καθ’ όλη τη διάρκεια. Αυτή η ευελιξία υποδηλώνει μια καλά οργανωμένη λειτουργία, ικανή να κλιμακώνεται γρήγορα, διατηρώντας τον ίδιο πρωταρχικό στόχο – την κλοπή διαπιστευτηρίων μαζικά.
Οι αναλυτές της K7 Security Labs εντόπισαν αυτήν την καμπάνια κατά τη διερεύνηση της δραστηριότητας στο VirusTotal και σημείωσε ότι το τελικό ωφέλιμο φορτίο φαίνεται να παραδίδεται είτε σε πρώιμο στάδιο ανάπτυξης είτε ως προϊόν με δυνατότητα διαμόρφωσης Malware-as-a-Service.
Βασικές δυνατότητες όπως το AntiVM, το ProcessKiller και το DownloaderFile βρέθηκαν να είναι απενεργοποιημένα ή ορίζονται σε NULL κατά την ανάλυση, υποδηλώνοντας ότι οι πελάτες λαμβάνουν μόνο τις δυνατότητες για τις οποίες πληρώνουν. Αυτός ο αρθρωτός σχεδιασμός καθιστά το εργαλείο προσβάσιμο σε παράγοντες απειλών με περιορισμένες τεχνικές δεξιότητες.
.webp.jpeg)
Μόλις ενεργοποιηθεί, το VIP Keylogger συλλέγει ευαίσθητα δεδομένα από ένα μολυσμένο μηχάνημα. Στοχεύει δεκάδες προγράμματα περιήγησης που βασίζονται στο Chromium, συμπεριλαμβανομένων των Chrome, Brave, Edge και Opera, καθώς και προγράμματα περιήγησης που βασίζονται σε Firefox, όπως Firefox, Thunderbird και Waterfox, αντλώντας cookie, διαπιστευτήρια σύνδεσης, πληροφορίες πιστωτικών καρτών και ιστορικά περιήγησης.
Τα προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου όπως το Outlook, το Foxmail, το ThunderBird και το Postbox έχουν επίσης παραβιαστεί, με λήψη κωδικών πρόσβασης POP3, IMAP, SMTP και HTTP.
Πλατφόρμες όπως το Discord, το FileZilla και το Pidgin χάνουν επίσης διακριτικά λογαριασμού και λεπτομέρειες διακομιστή. Όλα τα κλεμμένα δεδομένα φεύγουν μέσω ενός από τα πέντε κανάλια — FTP, SMTP, Telegram, HTTP POST ή Discord — με το αναλυόμενο δείγμα να χρησιμοποιεί SMTP για τη μετάδοση πληροφοριών μέσω ενός αποκλειστικού διακομιστή στη θύρα 587.
Πώς το VIP Keylogger εκτελείται χωρίς να αφήνει ίχνος
Η μόλυνση ακολουθεί δύο ξεχωριστές διαδρομές, και οι δύο έχουν σχεδιαστεί για να ξεφεύγουν από τα εργαλεία ασφαλείας απαρατήρητα. Στην πρώτη μέθοδο, το κακόβουλο αρχείο είναι ένα εκτελέσιμο αρχείο .NET PE που κρύβει δύο DLL μέσα στο τμήμα πόρων του χρησιμοποιώντας steganography — μια τεχνική που κρύβει κώδικα μέσα σε φαινομενικά αβλαβή αρχεία.
Το πρώτο DLL, Turboboost.dll, εξάγει το δεύτερο, Vertical bars.dll, το οποίο κρατά το τελικό ωφέλιμο φορτίο VIP Keylogger κρυμμένο μέσα σε μια εικόνα PNG, επίσης μέσω steganography.
Αυτό το ωφέλιμο φορτίο ανακτάται από την εικόνα και αναπτύσσεται μέσω της διαδικασίας hollowing, όπου η διαδικασία κεντρικού υπολογιστή εκκινείται σε κατάσταση αναστολής και η μνήμη του αντικαθίσταται με τον κακόβουλο κώδικα πριν ξεκινήσει η εκτέλεση.
.webp.jpeg)
Στη δεύτερη μέθοδο, ένα τυπικό αρχείο PE αποθηκεύει byte κρυπτογραφημένα με AES μέσα στην ενότητα .data. Αφού τα αποκρυπτογραφήσει στη μνήμη, το κακόβουλο λογισμικό διορθώνει το AMSI – μια διεπαφή των Windows που σαρώνει για ύποπτα σενάρια – και το ETW, ένα σύστημα καταγραφής που βασίζεται στα προϊόντα ασφαλείας.
Με απενεργοποιημένες και τις δύο άμυνες, το VIP Keylogger φορτώνεται καθαρά μέσω του χρόνου εκτέλεσης Common Language. Και οι δύο διαδρομές μοιράζονται έναν στόχο: να εκτελέσετε το ωφέλιμο φορτίο χωρίς να αγγίξετε το δίσκο και να μην αφήσετε σχεδόν κανένα ίχνος πίσω.
Οι οργανισμοί θα πρέπει να αποφεύγουν να ανοίγουν συνημμένα email από άγνωστους αποστολείς, ειδικά συμπιεσμένα αρχεία όπως αρχεία RAR ή ZIP. Οι ομάδες ασφαλείας θα πρέπει να αναπτύξουν λύσεις τελικού σημείου ικανές να εντοπίζουν απειλές στη μνήμη και τη συμπεριφορά κούφωσης της διαδικασίας.
Συνιστάται ανεπιφύλακτα να διατηρείτε ενημερωμένα τα προγράμματα περιήγησης και τις εφαρμογές για τη μείωση της επιφάνειας επίθεσης που εκμεταλλεύεται ενεργά το VIP Keylogger.
