Μια νέα καμπάνια κακόβουλου λογισμικού έχει εμφανιστεί που εξαπατά τους ανθρώπους να κατεβάσουν ψεύτικο λογισμικό Malwarebytes, θέτοντας τα διαπιστευτήρια σύνδεσής τους και τα πορτοφόλια κρυπτονομισμάτων σε σοβαρό κίνδυνο.
Οι ερευνητές ασφαλείας ανακάλυψαν ότι αυτή η λειτουργία εξαπλώνεται ενεργά μεταξύ 11 Ιανουαρίου και 15 Ιανουαρίου 2026, χρησιμοποιώντας ειδικά δημιουργημένα αρχεία ZIP που υποδύονται τους νόμιμους εγκαταστάτες Malwarebytes.
Τα πλαστά αρχεία ονομάζονται malwarebytes-windows-github-io-XXXzip, κάνοντάς τα να φαίνονται αυθεντικά σε ανυποψίαστους χρήστες που πιστεύουν ότι κατεβάζουν γνήσια προστασία προστασίας από ιούς.
Ο πρωταρχικός στόχος της καμπάνιας επικεντρώνεται στην παροχή ενός κακόβουλου λογισμικού που κλέβει πληροφορίες που συλλέγει ευαίσθητα δεδομένα χρηστών.
.webp.jpeg "Ηθοποιοί απειλών μιμούνται ως MalwareBytes για να επιτεθούν σε χρήστες και να κλέψουν στοιχεία σύνδεσης")
Αυτά τα κακόβουλα αρχεία ZIP περιέχουν έναν επικίνδυνο συνδυασμό αρχείων που έχουν σχεδιαστεί για να παρακάμπτουν τις άμυνες ασφαλείας και να διασφαλίζουν την επιμονή σε μολυσμένα συστήματα.
Όταν οι χρήστες εξάγουν και εκτελούν αυτό που φαίνεται να είναι το νόμιμο εκτελέσιμο Malwarebytes, ενεργοποιούν εν αγνοία τους μια αλυσίδα κακόβουλων συμβάντων που τελικά θέτει σε κίνδυνο την ψηφιακή ασφάλεια και τις προσωπικές τους πληροφορίες.
Αναλυτές VirusTotal αναγνωρισθείς το κακόβουλο λογισμικό αφού εξέτασε τα μοτίβα μόλυνσης και τις δομές αρχείων, σημειώνοντας ότι όλα τα ύποπτα αρχεία ZIP μοιράζονται ένα συνεπές αναγνωριστικό γνωστό ως τιμή behash του “4acaac53c8340a8c236c91e68244e6cb”.
Αυτός ο τεχνικός δείκτης έγινε κρίσιμος για την παρακολούθηση του εύρους της καμπάνιας και τον εντοπισμό πρόσθετων παραλλαγών που χρησιμοποιούνται στη λειτουργία.
Οι ερευνητές τεκμηρίωσαν πώς λειτουργεί το κακόβουλο λογισμικό μέσω μιας εξελιγμένης τεχνικής στρωσίματος που καθιστά την ανίχνευση και την ανάλυση πιο δύσκολη.
DLL Sideloading: The Attack Mechanism
Η επίθεση βασίζεται σε μια παραπλανητική τεχνική που ονομάζεται πλευρική φόρτωση DLL, η οποία εκμεταλλεύεται τον τρόπο με τον οποίο τα Windows φορτώνουν νόμιμες βιβλιοθήκες λογισμικού. Το κακόβουλο ωφέλιμο φορτίο είναι κρυμμένο μέσα σε ένα αρχείο που ονομάζεται CoreMessaging.dll.
.webp.jpeg "Ηθοποιοί απειλών μιμούνται ως MalwareBytes για να επιτεθούν σε χρήστες και να κλέψουν στοιχεία σύνδεσης")
Όταν εκτελείται το νόμιμο εκτελέσιμο αρχείο Malwarebytes, το λειτουργικό σύστημα φορτώνει αυτό το κακόβουλο DLL αντί για το γνήσιο αρχείο βιβλιοθήκης.
Οι δράστες απειλών τοποθετούν τόσο το ψεύτικο DLL όσο και το νόμιμο EXE στον ίδιο φάκελο, εξαπατώντας τα Windows να εκτελέσουν το κακόβουλο λογισμικό χωρίς να προκαλούν υποψίες.
Τα κακόβουλα DLL διαθέτουν διακριτικά μεταδεδομένα, συμπεριλαμβανομένων συμβολοσειρών υπογραφής όπως “© 2026 Eosinophil LLC” και ασυνήθιστες εξαγόμενες συναρτήσεις που περιέχουν αλφαριθμητικές ακολουθίες όπως “15Mmm95ml1RbfjH1VUyelYFCf” και “2dlSKETPzvo1gvHDN4F”.
Αυτά τα χαρακτηριστικά επιτρέπουν στους ερευνητές ασφάλειας να αναζητήσουν σχετικά δείγματα και να παρακολουθήσουν την ευρύτερη καμπάνια.
Μόλις εκτελεστεί το κακόβουλο DLL, απορρίπτει τους infostealers δευτερεύοντος σταδίου που στοχεύουν συγκεκριμένα πληροφορίες πορτοφολιού κρυπτονομισμάτων και αποθηκευμένα διαπιστευτήρια προγράμματος περιήγησης, επιτρέποντας στους εισβολείς να διαπράξουν κλοπή ταυτότητας και κλοπή κρυπτονομισμάτων.
