Er is waargenomen dat bedreigingsactoren kwaadaardige code in afbeeldingen verbergen om malware zoals VIP Keylogger en 0bj3ctivity Stealer te verspreiden als onderdeel van afzonderlijke campagnes.
“In beide campagnes verborgen aanvallers kwaadaardige code in afbeeldingen die ze uploadden naar archive(.)org, een website voor het hosten van bestanden, en gebruikten ze dezelfde .NET-loader om hun laatste payloads te installeren”, aldus HP Wolf Security in zijn Threat Insights Report voor Q3 2024 gedeeld met The Hacker News.
Het startpunt is een phishing-e-mail die zich voordoet als facturen en inkooporders om ontvangers te misleiden om kwaadaardige bijlagen te openen, zoals Microsoft Excel-documenten, die, wanneer ze worden geopend, misbruik maken van een bekend beveiligingslek in de Equation Editor (CVE-2017-11882) om te downloaden een VBScript-bestand.
Het script is op zijn beurt ontworpen om een PowerShell-script te decoderen en uit te voeren dat een afbeelding ophaalt die wordt gehost op archive(.)org en een Base64-gecodeerde code extraheert, die vervolgens wordt gedecodeerd in een .NET-uitvoerbaar bestand en wordt uitgevoerd.
Het uitvoerbare bestand .NET dient als lader om VIP Keylogger van een bepaalde URL te downloaden en uit te voeren, waardoor de bedreigingsactoren een breed scala aan gegevens van de geïnfecteerde systemen kunnen stelen, inclusief toetsaanslagen, klembordinhoud, schermafbeeldingen en inloggegevens. VIP Keylogger deelt functionele overlappingen met Snake Keylogger en 404 Keylogger.
Er is een soortgelijke campagne gevonden die kwaadaardige archiefbestanden per e-mail naar doelwitten verzendt. Deze berichten, die zich voordoen als offerteaanvragen, zijn bedoeld om bezoekers ertoe te verleiden een JavaScript-bestand in het archief te openen, dat vervolgens een PowerShell-script start.
Net als in het vorige geval downloadt het PowerShell-script een afbeelding van een externe server, parseert de Base64-gecodeerde code daarin en voert dezelfde op .NET gebaseerde lader uit. Wat anders is, is dat de aanvalsketen culmineert in de inzet van een informatiedief genaamd 0bj3ctivity.
De parallellen tussen de twee campagnes suggereren dat bedreigingsactoren malwarekits gebruiken om de algehele efficiëntie te verbeteren, terwijl ze ook de tijd en technische expertise die nodig is om de aanvallen uit te voeren, verkorten.
HP Wolf Security zei ook dat slechte actoren hun toevlucht namen tot HTML-smokkeltechnieken om de XWorm remote access trojan (RAT) te laten vallen door middel van een AutoIt-dropper, in navolging van eerdere campagnes die AsyncRAT op een vergelijkbare manier verspreidden.
“Opmerkelijk genoeg vertoonden de HTML-bestanden kenmerken die erop wezen dat ze met behulp van GenAI waren geschreven”, aldus HP. “De activiteit wijst op het toenemende gebruik van GenAI in de initiële toegangs- en malware-leveringsfasen van de aanvalsketen.”
“Inderdaad, bedreigingsactoren kunnen talloze voordelen halen uit GenAI, van het opschalen van aanvallen en het creëren van variaties die hun infectiepercentages zouden kunnen verhogen, tot het moeilijker maken van attributie door netwerkverdedigers.”
Dat is niet alles. Er zijn bedreigingsactoren opgemerkt die GitHub-repository’s hebben gemaakt waarin reclame wordt gemaakt voor cheat- en wijzigingstools voor videogames om de Lumma Stealer-malware te implementeren met behulp van een .NET-dropper.
“De geanalyseerde campagnes leveren verder bewijs van de commodificatie van cybercriminaliteit”, zegt Alex Holland, hoofdonderzoeker op het gebied van dreigingen bij het HP Security Lab. “Omdat kits voor malware op nummer vrijer beschikbaar, betaalbaarder en gebruiksvriendelijker zijn, kunnen zelfs beginners met beperkte vaardigheden en kennis een effectieve infectieketen samenstellen.”
