Μια νέα καμπάνια κυβερνοεπίθεσης έχει προκαλέσει ανησυχία, καθώς χάκερ εκμεταλλεύονται παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου για να διαδώσουν ένα επικίνδυνο κακόβουλο λογισμικό, γνωστό ως VIP Keylogger. Αυτά τα μηνύματα, ντυμένα σαν επαγγελματικά έγγραφα, έχουν στόχο να παραπλανήσουν τους χρήστες και να τους ωθήσουν να ανοίξουν επισυναπτόμενα αρχεία που περιέχουν την κρυφή απειλή.
Η καμπάνια είναι ενεργή εδώ και μήνες και δείχνει καμία ένδειξη ανάσχεσης. Ο VIP Keylogger αποτελεί μέρος μιας ευρύτερης τάσης κακόβουλου λογισμικού που στοχεύει σε χρήστες με στόχο την κλοπή ευαίσθητων πληροφοριών. Ειδικοί στον τομέα της κυβερνοασφάλειας αναφέρουν ότι η τακτική αυτή έχει εξελιχθεί, ενσωματώνοντας προηγμένες μεθόδους για να διατηρεί την αόρατη παρουσία της, εξαπατώντας τους χρήστες.
Το VIP Keylogger έχει σχεδιαστεί να συλλέγει δεδομένα γρήγορα και διακριτικά, είτε λειτουργώντας ως αυτόνομο εργαλείο είτε ανοίγοντας τον δρόμο για πιο επιβλαβείς επιθέσεις. Σύμφωνα με τους αναλυτές του Splunk Threat Research Team (STRT), η χρήση τακτικών κοινωνικής μηχανικής έχει αυξηθεί σημαντικά, κάνοντάς τους επιτιθέμενους πιο επικίνδυνους.
Σύμφωνα με έκθεση της ερευνητικής ομάδας του Splunk Threat, οι επιτιθέμενοι επιλέγουν στρατηγικά το περιεχόμενο των ηλεκτρονικών μηνυμάτων, χρησιμοποιώντας παραπλανητικούς τίτλους και προσφορές που φαίνονται νόμιμες, όπως ειδοποιήσεις πληρωμών ή ενημερώσεις υποστήριξης.
Αν και μπορεί να φαίνεται αθώο, η εκτέλεση ενός τέτοιου αρχείου ενεργοποιεί μια αλυσίδα αποτελεσμάτων που οδηγεί στην εγκατάσταση του keylogger στο σύστημα του χρήστη. Η διαδικασία μόλυνσης είναι πολύπλοκη και σχεδιασμένη με προσοχή ώστε να παραμένει μακριά από τα μάτια των χρηστών.
Μέχρι η απειλή να γίνει ενεργή, το κακόβουλο λογισμικό έχει ήδη ενσωματωθεί σε μια νόμιμη διαδικασία των Windows, καθιστώντας την ανίχνευσή του ιδιαίτερα δύσκολη.
Η ομάδα του STRT έχει αναλύσει περισσότερα από 200 δείγματα του VIP Keylogger, χρησιμοποιώντας δεδομένα από το VirusTotal για την κατανόηση του τρόπου με τον οποίο ο ιός ονομάζεται και διανέμεται. Η έρευνα αυτή ρίχνει φως σε μια από τις πιο επιμPersistent οικογένειες κακόβουλου λογισμικού που στοχεύουν σε χρήστες Windows διεθνώς.
Μηνύματα ηλεκτρονικού ψαρέματος παραδίδουν το VIP Keylogger μέσω πολυεπίπεδων φορτωτών
Η διαδικασία της μόλυνσης ξεκινά με την αποστολή ενός αρχείου σεναρίου, το οποίο μπορεί να είναι μια δέσμη ενεργειών της Visual Basic (.vbs), ένα αρχείο JavaScript (.js), ή μια δέσμη ενεργειών (.bat). Οι επιτιθέμενοι χρησιμοποιούν τεχνικές αφαίρεσης που καθιστούν την ανίχνευση δύσκολη, κρύβοντας την ύλη του κακόβουλου λογισμικού σε μεγάλα μπλοκ χωρίς νόημα.
Το αρχείο .vbs ενσωματώνει το κακόβουλο ωφέλιμο φορτίο του, το οποίο εκτελείται μέσω μιας αλυσίδας PowerShell που κρύβεται σε μεταβλητές περιβάλλοντος, αφήνοντας μια ευδιάκριτη υπογραφή στο μητρώο των Windows.
.webp)
Ένα από τα πιο ευρηματικά κόλπα του VIP Keylogger είναι η χρήση στεγανογραφίας, όπου ο κακόβουλος κώδικας κρύβεται μέσα σε αρχεία εικόνας. Τα σενάρια PowerShell κατεβάζουν εικόνες από απομακρυσμένους διακομιστές, οι οποίες περιέχουν κωδικοποιημένα στοιχεία του τελικού ωφέλιμου φορτίου.
Δυνατότητες του VIP Keylogger και πώς να το εντοπίσετε
Αφού εγκατασταθεί, το VIP Keylogger αποτελεί σοβαρή απειλή. Καταγράφει κάθε πάτημα πλήκτρου, στέλνει περιοδικά στιγμιότυπα της οθόνης, και κλέβει αποθηκευμένους κωδικούς και cookies από δημοφιλή προγράμματα περιήγησης.
.webp)
Επιπλέον, παρακολουθεί το περιεχόμενο του προχείρου, αντικαθιστώντας κρυφά διευθύνσεις πορτοφολιού κρυπτονομισμάτων με τις δικές του. Το κακόβουλο λογισμικό έχει πολλούς που είναι υπεύθυνοι για τη σύνδεση με διακομιστές C&C (Command and Control), ακόμη και μέσω ενός bot Telegram.
Ο STRT προτείνει παρακολούθηση αλλαγών στο μητρώο που σχετίζονται με το κλειδί UserInitMprLogonScript και την εκπαίδευση των χρηστών για την αναγνώριση phishing μηνυμάτων. Είναι επίσης σημαντικό να παρακολουθούνται οι DNS ερωτήσεις προς τον τομέα API του Telegram, οι οποίες μπορεί να υποδεικνύουν δραστηριότητα εξαγωγής δεδομένων.
Δείκτες Συμβιβασμού (IoCs):
| Τύπος | Δείκτης | Περιγραφή |
|---|---|---|
| Κατακερματισμός αρχείων (SHA256) | 95e6c6c13f65217f41c371abf6d03594b2bfed2259a181307ee41817b9f33871 | Δείγμα φόρτωσης VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | 9bea03676ab607349cc3accba0ddd | Δείγμα φόρτωσης VIP Keylogger |
| Όνομα αρχείου | img_085027.png | Εικόνα στεγανογραφίας που μεταφέρει κωδικοποιημένο τελικό ωφέλιμο φορτίο |
| Κατακερματισμός αρχείων (SHA256) | 2df582bb41d1e6f0a6d44e8dbc1d8bca8e3d332bb268688d1f59c65ebe64d0e8 | Εξάρτημα VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | 17ffe7ecbf1d5a4bc3768d896c9348d5de337baa0b0938e4283324d3b1e8ccbd | Εξάρτημα VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | eed694aab3b14b25dfcc6e7f69992b3f5543bcc9ebe86bd0b682e211f428613b | Εξάρτημα VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | fb4e866186133235a88e318df3059b010 | Εξάρτημα VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | 01f297ad2ab8dcab70822c839912cb67 | Εξάρτημα VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | 2e93de459e5608bea21014b25dfcc6e7f69992b3f5543bcc9ebe86bd0b682e211f4 | Εξάρτημα VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | 9bca7a3ac404807c63670141a3459eac24450e0cffbe109905c76ccf4ebdd12e | Εξάρτημα VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | 1df63047a3206026073781d88516927c6d68f6413e437e4a919b2007f6a2ade3 | Εξάρτημα VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | 2be71f8046 | Θραύσμα κατακερματισμού ωφέλιμου φορτίου VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | ae6918bfe8774e1ec1ec34f3db26e7e548dd0dc33a4e6faa2862e4d2c722c7bf | Δείγμα VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | c86aa6c2c589455659b7a4ce6bb15cbdecb69250504d0b00bf3a9ac2209e3f60 | Δείγμα VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | 00553aa0e89b79d5ad4a4b03f9b153d27d356c6e62648fa87c2c378af42801cc | Δείγμα VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | d00ad4c93afcc23b9f8e5f56a8ddef81c1f4b3319793cca0789e92ef11ccc9ab | Δείγμα VIP Keylogger |
| Κατακερματισμός αρχείων (SHA256) | d411bdc621a34138aaee4db3 | Θραύσμα κατακερματισμού ωφέλιμου φορτίου VIP Keylogger |
| URL | hxxps://vault88x[.]ασφαλής-αποδοτικό2[.]su/MSI_105759[.]png | URL λήψης πρώτης στεγανογραφίας (κωδικοποιημένο στοιχείο λήψης) |
| URL | hxxps://vault88x[.]ασφαλής-αποδοτικό2[.]su/img_085027[.]png | URL λήψης δεύτερης στεγανογραφίας (κωδικοποιημένο τελικό ωφέλιμο φορτίο) |
| URL | hxxps[:]//reallyfreegeoip[.]org/xml/ | URL αναζήτησης γεωγραφικής τοποθεσίας που χρησιμοποιείται από το VIP Keylogger για beaconing C2 |
| URL | hxxp[:]//επιταγή[.]dyndns[.]org/ | Διεύθυνση URL ελέγχου IP που χρησιμοποιείται για δεδομένα δικτύου και τοποθεσίας κατά τη μετάδοση σήμανσης C2 |
| Πεδίο ορισμού | api.telegram[.]org | Τομέας API Bot Telegram που χρησιμοποιείται για επικοινωνία C2 και εξαγωγή δεδομένων |
Σημείωση: Οι διευθύνσεις IP και οι τομείς είναι σκόπιμα αλλοιωμένοι (π.χ. [.]) για την αποφυγή τυχαίας επίλυσης ή υπερσύνδεσης. Re-fang μόνο σε ελεγχόμενες πλατφόρμες πληροφοριών απειλών όπως το MISP, το VirusTotal ή το SIEM σας.
## Η άποψη του TechNoid.gr
Η σημερινή εγρήγορση σχετικά με τον VIP Keylogger είναι απολύτως φυσιολογική, δεδομένων των κινδύνων που προκύπτουν από τις τεχνικές αυτές. Η χρήση κοινωνικής μηχανικής μας θυμίζει ότι η ασφάλεια στον κυβερνοχώρο απαιτεί εγρήγορση και εκπαίδευση. Οι οργανισμοί και οι χρήστες όχι μόνο πρέπει να ενισχύσουν τα συστήματα ασφαλείας τους, αλλά και να διασφαλίσουν ότι όλοι οι χρήστες είναι εκπαιδευμένοι και ενημερωμένοι στα βασικά της κυβερνοασφάλειας. Το διαρκές ενδιαφέρον για το συγκεκριμένο κακόβουλο λογισμικό δείχνει ότι η τεχνολογία των επιθέσεων εξελίσσεται συνεχώς και οι ετοιμότητές μας πρέπει να ανανεώνονται τακτικά για να αποφεύγουμε καταστροφές.
