Bedreigingsactoren lokken nietsvermoedende gebruikers met gratis of illegale versies van commerciële software om een malware-loader te leveren genaamd Hijack Loader, die vervolgens een informatie-steeler inzet die bekend staat als Vidar Stealer.
“Aanvallers waren erin geslaagd gebruikers te misleiden zodat ze met een wachtwoord beveiligde archiefbestanden downloadden die getrojaniseerde kopieën van een Cisco Webex Meetings-app (ptService.exe) bevatten”, zei Trellix-beveiligingsonderzoeker Ale Houspanossian in een maandaganalyse.
“Toen nietsvermoedende slachtoffers een binair bestand 'Setup.exe' uitpakten en uitvoerden, laadde de Cisco Webex Meetings-applicatie heimelijk een heimelijke malware-lader, wat leidde tot de uitvoering van een module voor het stelen van informatie.”
Het startpunt is een RAR-archiefbestand dat de uitvoerbare naam 'Setup.exe' bevat, maar in werkelijkheid een kopie is van de ptService-module van Cisco Webex Meetings.
Wat de campagne opmerkelijk maakt, is het gebruik van DLL side-loading-technieken om heimelijk Hijack Loader (ook bekend als DOILoader of IDAT Loader) te starten, die vervolgens fungeert als kanaal om Vidar Stealer te laten vallen door middel van een AutoIt-script.
“De malware maakt gebruik van een bekende techniek om Gebruikersaccountbeheer (UAC) te omzeilen en de CMSTPLUA COM-interface te misbruiken voor escalatie van bevoegdheden”, aldus Houspanossian. “Toen de privilege-escalatie eenmaal was gelukt, voegde de malware zichzelf toe aan de uitsluitingslijst van Windows Defender voor verdedigingsontduiking.”
De aanvalsketen gebruikt niet alleen Vidar Stealer om gevoelige inloggegevens van webbrowsers over te hevelen, maar maakt ook gebruik van extra payloads om een cryptocurrency-miner op de getroffen host in te zetten.
De onthulling volgt op een piek in ClearFake-campagnes die sitebezoekers ertoe verleiden het PowerShell-script handmatig uit te voeren om een vermeend probleem met het bekijken van webpagina's op te lossen, een techniek die eerder eind vorige maand door ReliaQuest werd onthuld.
Het PowerShell-script dient vervolgens als startpunt voor Hijack Loader, dat uiteindelijk de Lumma Stealer-malware levert. De stealer is ook uitgerust om nog drie payloads te downloaden, waaronder Amadey Loader, een downloader die de XMRig-mijnwerker start, en een clipper-malware om cryptotransacties om te leiden naar door de aanvaller gecontroleerde portemonnees.
“Er werd waargenomen dat Amadey andere payloads downloadde, bijvoorbeeld een op Go gebaseerde malware waarvan werd aangenomen dat het JaskaGO was”, aldus Proofpoint-onderzoekers Tommy Madjar, Dusty Miller en Selena Larson.
Het bedrijfsbeveiligingsbedrijf zei dat het medio april 2024 ook een ander activiteitencluster ontdekte, ClickFix genaamd, dat foutieve browserupdate-lokmiddelen gebruikte voor bezoekers van gecompromitteerde sites om Vidar Stealer te verspreiden met behulp van een soortgelijk mechanisme waarbij PowerShell-code werd gekopieerd en uitgevoerd.
Een andere bedreigingsacteur die dezelfde social engineering-tactiek heeft omarmd in zijn malspamcampagnes is TA571, waarbij is waargenomen dat hij e-mails verzendt met HTML-bijlagen die, wanneer geopend, een foutmelding weergeven: “De 'Word Online'-extensie is niet in uw browser geïnstalleerd. .”
Het bericht bevat ook twee opties: 'Hoe op te lossen' en 'Automatisch repareren'. Als een slachtoffer de eerste optie selecteert, wordt een met Base64 gecodeerde PowerShell-opdracht gekopieerd naar het klembord van de computer, gevolgd door instructies om een PowerShell-terminal te starten en met de rechtermuisknop op het consolevenster te klikken om de inhoud te plakken en de code uit te voeren die verantwoordelijk is voor het uitvoeren van een MSI-installatieprogramma van een Visual Basic-script (VBS).
Op dezelfde manier krijgen gebruikers die uiteindelijk de “Auto-fix” selecteren, in Windows Verkenner door WebDAV gehoste bestanden met de naam “fix.msi” of “fix.vbs” te zien door gebruik te maken van de protocolhandler “search-ms:”.
Ongeacht de gekozen optie culmineert de uitvoering van het MSI-bestand in de installatie van Matanbuchus, terwijl de uitvoering van het VBS-bestand leidt tot de uitvoering van DarkGate.
Andere varianten van de campagne hebben ook geresulteerd in de distributie van NetSupport RAT, wat de pogingen onderstreept om de lokmiddelen en aanvalsketens aan te passen en bij te werken, ondanks het feit dat ze aanzienlijke gebruikersinteractie van een deel van de gebruiker vereisen om succesvol te zijn.
“Het legitieme gebruik en de vele manieren om de kwaadaardige code op te slaan, en het feit dat het slachtoffer de kwaadaardige code handmatig uitvoert zonder enige directe associatie met een bestand, maakt de detectie van dit soort bedreigingen moeilijk”, aldus Proofpoint.
“Aangezien antivirussoftware en EDR's problemen zullen hebben met het inspecteren van de inhoud van het klembord, moeten detectie en blokkering plaatsvinden voordat de kwaadaardige HTML/site aan het slachtoffer wordt gepresenteerd.”
De ontwikkeling komt ook doordat eSentire een malwarecampagne heeft onthuld die gebruikmaakt van vergelijkbare websites die zich voordoen als Indeed(.)com om de informatiestelende SolarMarker-malware te laten vallen via een lokdocument dat beweert ideeën voor teambuilding aan te bieden.
“SolarMarker maakt gebruik van zoekmachineoptimalisatie (SEO)-vergiftigingstechnieken om de resultaten van zoekmachines te manipuleren en de zichtbaarheid van misleidende links te vergroten”, aldus het Canadese cyberbeveiligingsbedrijf.
“Het gebruik van SEO-tactieken door de aanvallers om gebruikers naar kwaadaardige sites te leiden, onderstreept het belang van voorzichtigheid bij het klikken op zoekresultaten van zoekmachines, zelfs als deze legitiem lijken.”
