Οι επιτιθέμενοι βρήκαν έναν νέο τρόπο να προωθήσουν κακόβουλο λογισμικό, οπλίζοντας ένα από τα πιο αξιόπιστα καθημερινά εργαλεία – το Google Forms.

Μια καμπάνια που εντοπίστηκε πρόσφατα εκμεταλλεύεται δέλεαρ με επιχειρηματικό θέμα, συμπεριλαμβανομένων των ψεύτικων συνεντεύξεων για δουλειά, των συνοπτικών εγγράφων και των οικονομικών εγγράφων, για να παραδώσει έναν Trojan απομακρυσμένης πρόσβασης (RAT) γνωστό ως PureHVNC σε μηχανές-θύματα.

Αυτό που ξεχωρίζει αυτή την καμπάνια δεν είναι το ίδιο το κακόβουλο λογισμικό, αλλά οι ασυνήθιστοι εισβολείς του καναλιού επέλεξαν να ξεκινήσουν τη μόλυνση.

Η καμπάνια ξεκινά με μια πειστική Φόρμα Google που έχει δημιουργηθεί για να μοιάζει με πραγματική διαδικασία πρόσληψης ή επιχειρηματικής διαδικασίας. Αυτά τα έντυπα ζητούν επαγγελματικές λεπτομέρειες όπως το ιστορικό και το ιστορικό εργασίας, δημιουργώντας μια αίσθηση αυθεντικότητας.

Αφού υποβληθούν, οι στόχοι κατευθύνονται σε ένα αρχείο ZIP με επιχειρηματικό θέμα που φιλοξενείται σε πλατφόρμες όπως το Dropbox, το filedn.com και το fshare.vn ή μέσω συντομεύσεων όπως το tr.ee και το goo.su που κρύβουν τον πραγματικό προορισμό.

Οι επιτιθέμενοι διαδίδουν επίσης συνδέσμους μέσω του LinkedIn, προσεγγίζοντας επαγγελματίες που αναζητούν θέσεις εργασίας ή νέες ευκαιρίες.

Οι αναλυτές του Malwarebytes εντόπισαν πολλές παραλλαγές αυτής της εκστρατείας και σημείωσε ότι οι παράγοντες απειλών υποδύονται γνωστές εταιρείες στους τομείς της χρηματοδότησης, της εφοδιαστικής, της τεχνολογίας, της βιωσιμότητας και της ενέργειας.

Τα πλαστά έντυπα εμφανίζουν πραγματικά ονόματα εταιρειών, λογότυπα και επωνυμίες, γεγονός που καθιστά δύσκολο για έναν μέσο χρήστη να εντοπίσει την απάτη.

Ονόματα αρχείων όπως “Project_Information_Summary_2026.zip” και “{CompanyName}_GlobalLogistics_Ad_Strategy.zip” δείχνουν πόσο σκόπιμη και υπολογισμένη είναι πραγματικά η εξαπάτηση.

Το PureHVNC είναι ένα αρθρωτό .NET RAT από την οικογένεια κακόβουλου λογισμικού “Pure”. Όταν βρίσκονται σε ένα μηχάνημα, παρέχει στους εισβολείς πλήρη απομακρυσμένο έλεγχο, επιτρέποντάς τους να εκτελούν εντολές, να κλέβουν δεδομένα από προγράμματα περιήγησης, πορτοφόλια κρυπτονομισμάτων και εφαρμογές ανταλλαγής μηνυμάτων όπως το Telegram και το Foxmail, να συλλέγουν πληροφορίες υλικού και λογισμικού και να εγκαταστήσουν πρόσθετα πρόσθετα.

Η διαμόρφωσή του είναι κωδικοποιημένη στο base64 και συμπιέζεται με GZIP, με τον αναγνωρισμένο διακομιστή C2 στο IP 207.148.66.14 να είναι προσβάσιμος στις θύρες 56001, 56002 και 56003.

Η απήχηση της καμπάνιας είναι μεγάλη, πλήττοντας βιομηχανίες όπου η κοινή χρήση εγγράφων είναι ρουτίνα και οι επαγγελματίες λαμβάνουν συχνά αρχεία από εξωτερικές επαφές, καθιστώντας δύσκολο να εντοπιστεί ένα κακόβουλο συνημμένο.

Μηχανισμός μόλυνσης πολλαπλών σταδίων

Η αλυσίδα μόλυνσης πίσω από το PureHVNC είναι πολυεπίπεδη και σκόπιμη, κατασκευασμένη για να αποφεύγεται η ανίχνευση σε κάθε βήμα. Μόλις ένα θύμα εξαγάγει το ληφθέν ZIP, βρίσκει έγγραφα που σχετίζονται με την εργασία μαζί με ένα κρυφό εκτελέσιμο αρχείο και ένα DLL με το όνομα msimg32.dll.

Αυτό το DLL εκτελείται μέσω πειρατείας DLL, εξαπατώντας μια νόμιμη εφαρμογή για να φορτώσει τον κακόβουλο κώδικα χωρίς προφανείς ειδοποιήσεις.

Μόλις εκτελεστεί, το DLL αποκρυπτογραφεί τις συμβολοσειρές μέσω του XOR με το κλειδί “4B” και ελέγχει για περιβάλλοντα ανάλυσης χρησιμοποιώντας IsDebuggerPresent() και time64().

Εάν εντοπιστεί δραστηριότητα sandbox ή εντοπισμού σφαλμάτων, το κακόβουλο λογισμικό εμφανίζει το σφάλμα “Αυτό το λογισμικό έχει λήξει ή εντοπίστηκε πρόγραμμα εντοπισμού σφαλμάτων” και σταματά.

Στη συνέχεια, το DLL αφαιρείται από το δίσκο, ρίχνει ένα ψεύτικο PDF για να κρατήσει το θύμα απασχολημένο και προσθέτει μια καταχώρηση μητρώου στο CurrentVersion\Run\Miroupdate για πρώιμη επιμονή.

Στο επόμενο στάδιο, ένα κρυφό αρχείο με το όνομα final.zip εξάγεται σε έναν τυχαίο φάκελο μέσα στο ProgramData.

Ένα ασαφές σενάριο Python — με όνομα config.log ή image.mp3 ανάλογα με την παραλλαγή — αποκωδικοποιεί και εκκινεί το Donut shellcode στη μνήμη.

Ο shellcode εγχέει το PureHVNC σε SearchUI.exeμια νόμιμη διαδικασία των Windows.

Για να κρατήσει την πρόσβαση, το κακόβουλο λογισμικό δημιουργεί μια προγραμματισμένη εργασία μέσω μιας εντολής PowerShell με κωδικοποίηση base64 στο υψηλότερο επίπεδο προνομίων όταν υπάρχουν δικαιώματα διαχειριστή, αφήνοντας το mutex “Rluukgz” στον κεντρικό υπολογιστή ως δείκτη.

Οι χρήστες και οι οργανισμοί θα πρέπει να λάβουν τα ακόλουθα βήματα για να μειώσουν την έκθεση σε αυτήν την καμπάνια. Πάντα να επαληθεύετε την πηγή μιας Φόρμας Google πριν υποβάλετε οποιαδήποτε πληροφορία ή κάνετε λήψη συνδεδεμένων αρχείων.

Διασταυρώστε τις απροσδόκητες προσφορές εργασίας ή αιτήματα έργων μέσω των επίσημων ιστοσελίδων της εταιρείας και των γνωστών επαφών. Αποφύγετε να ακολουθείτε συνδέσμους που κρύβονται πίσω από τα συντομευτικά URL χωρίς να επιβεβαιώσετε πρώτα πού οδηγούν.

Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν για ασυνήθιστα φορτία DLL, δημιουργία κωδικοποιημένων εργασιών PowerShell και διεργασία έγχυσης σε SearchUI.exe. Οι άμυνες τελικού σημείου θα πρέπει να διατηρούνται ενημερωμένες για να επισημαίνονται οι διεργασίες της Python που εκτελούνται απροσδόκητα από τους καταλόγους ProgramData.