Een lopende social engineering-campagne met vermeende banden met de Black Basta-ransomwaregroep is in verband gebracht met “meerdere inbraakpogingen” met als doel inloggegevens te stelen en een malware-dropper met de naam SystemBC te implementeren.
“De eerste manier waarop de cybercriminelen te werk gaan, is nog steeds hetzelfde: een e-mailbom, gevolgd door een poging om getroffen gebruikers te bellen en een nepoplossing aan te bieden”, aldus Rapid7. “Externe gesprekken werden doorgaans via Microsoft Teams gevoerd naar de getroffen gebruikers.”
De aanvalsketen overtuigt de gebruiker vervolgens om een legitieme software voor externe toegang met de naam AnyDesk te downloaden en te installeren. Deze software fungeert als kanaal voor het implementeren van vervolgpayloads en het exfiltreren van gevoelige gegevens.
Dit omvat het gebruik van een uitvoerbaar bestand met de naam ‘AntiSpam.exe’ dat pretendeert e-mailspamfilters te downloaden en gebruikers aanspoort hun Windows-inloggegevens in te voeren om de update te voltooien.
Deze stap wordt gevolgd door de uitvoering van verschillende binaire bestanden, DLL-bestanden en PowerShell-scripts, waaronder een Golang-gebaseerd HTTP-baken dat contact maakt met een externe server, een SOCKS-proxy en SystemBC.
Om het risico dat deze bedreiging met zich meebrengt te beperken, is het raadzaam om alle niet-goedgekeurde oplossingen voor extern bureaublad te blokkeren en alert te zijn op verdachte telefoontjes en berichten die afkomstig lijken te zijn van interne IT-medewerkers.
De onthulling komt nadat SocGholish (ook bekend als FakeUpdates), GootLoader en Raspberry Robin naar voren zijn gekomen als de meest waargenomen loaderstammen in 2024, die vervolgens als opstapje voor ransomware kunnen dienen, aldus gegevens van ReliaQuest.
“GootLoader is dit jaar nieuw in de top drie en vervangt QakBot nu de activiteit ervan afneemt”, aldus het cybersecuritybedrijf.
“Malware loaders worden vaak geadverteerd op cybercriminele forums op het dark web, zoals XSS en Exploit, waar ze worden verkocht aan cybercriminelen die netwerkinbraken en payload-levering willen vergemakkelijken. Deze loaders worden vaak aangeboden via abonnementsmodellen, met maandelijkse kosten die toegang verlenen tot regelmatige updates, ondersteuning en nieuwe functies die zijn ontworpen om detectie te omzeilen.”
Een voordeel van deze abonnementsgebaseerde aanpak is dat zelfs kwaadwillenden met beperkte technische expertise geavanceerde aanvallen kunnen uitvoeren.
Er zijn ook phishingaanvallen waargenomen waarbij malware die informatie steelt, bekend als 0bj3ctivity Stealer, via een andere loader genaamd Ande Loader wordt verspreid als onderdeel van een gelaagd distributiemechanisme.
“De verspreiding van de malware via verhulde en gecodeerde scripts, geheugeninjectietechnieken en de voortdurende verbetering van Ande Loader met functies als anti-debugging en stringverhulling benadrukken de noodzaak van geavanceerde detectiemechanismen en continu onderzoek”, aldus eSentire.
Deze campagnes zijn slechts de laatste in een reeks phishing- en social engineering-aanvallen die de afgelopen weken zijn ontdekt, terwijl kwaadwillenden steeds vaker valse QR-codes inzetten voor kwaadaardige doeleinden.
- Een ClearFake-campagne die gebruikmaakt van gecompromitteerde webpagina’s om .NET-malware te verspreiden onder het voorwendsel van het downloaden van een Google Chrome-update
- Een campagne die gebruikmaakt van nepwebsites die zich voordoen als HSBC, Santander, Virgin Money en Wise om een kopie van de AnyDesk Remote Monitoring and Management (RMM)-software te verspreiden onder Windows- en macOS-gebruikers, die vervolgens wordt gebruikt om gevoelige gegevens te stelen
- Een nepwebsite (“win-rar(.)co”) die schijnbaar WinRAR verspreidt, dat wordt gebruikt om ransomware, cryptocurrency-miners en informatiedieven genaamd Kematian Stealer te verspreiden, die worden gehost op GitHub
- Een malvertisingcampagne op sociale media die Facebookpagina’s kaapt om een ogenschijnlijk legitieme website voor fotobewerking met kunstmatige intelligentie (AI) te promoten via betaalde advertenties die slachtoffers ertoe verleiden de RMM-tool van ITarian te downloaden en deze te gebruiken om Lumma Stealer te verspreiden
“Het feit dat gebruikers van sociale media het doelwit zijn van kwaadaardige activiteiten, onderstreept het belang van robuuste beveiligingsmaatregelen om accountgegevens te beschermen en ongeautoriseerde toegang te voorkomen”, aldus onderzoekers van Trend Micro.
