Microsoft roept de aandacht op een voortdurende Malvertising -campagne die gebruik maakt van Node.js om kwaadaardige payloads te leveren die in staat zijn om informatiediefstal en data -exfiltratie in staat te stellen.
De activiteit, voor het eerst gedetecteerd in oktober 2024, maakt gebruik van kunstaas met betrekking tot cryptocurrency -handel om gebruikers te misleiden om een malafide installatieprogramma te installeren van frauduleuze websites die zich voordoen als legitieme software zoals Binance of TradingView.
Het gedownloade installatieprogramma wordt ingebed met een dynamische-linkbibliotheek (“Customactions.dll”) die verantwoordelijk is voor het oogsten van basissysteeminformatie met behulp van Windows Management Instrumentation (WMI) en het instellen van persistentie op de host via een geplande taak.
In een poging om de list te behouden, starten de DLL een browservenster via “MSEDDE_PROXY.EXE” dat de legitieme website van Cryptocurrency Trading toont. Het is vermeldenswaard dat “msedge_proxy.exe” kan worden gebruikt om elke website als een webtoepassing weer te geven.
De geplande taak is ondertussen geconfigureerd om PowerShell -opdrachten uit te voeren om te downloaden van een externe server extra scripts, die zorgen voor het uitsluiten van het lopende PowerShell -proces en de huidige map door Microsoft Defender voor eindpunt te worden gescand voor eindpunt als een manier om detectie te vergroten.
Zodra de uitsluitingen zijn ingesteld, wordt een Obfuscated PowerShell -opdracht uitgevoerd om scripts op te halen en uit te voeren van externe URL’s die in staat zijn om uitgebreide informatie te verzamelen met betrekking tot het Operation System, BIOS, Hardware en geïnstalleerde applicaties.
Alle vastgelegde gegevens worden omgezet in JSON-indeling en verzonden naar de opdracht-en-controle (C2) -server met een HTTPS-postverzoek.
De aanvalsketen gaat vervolgens naar de volgende fase waarin een ander PowerShell -script wordt gestart om een archiefbestand te downloaden van de C2 dat het binary van Node.js runtime en een JavaScript Compiled (JSC) -bestand bevat. De uitvoerbare node.js starten de uitvoering van het JSC-bestand op gang, dat gaat om netwerkverbindingen en waarschijnlijk Siphon-gevoelige browserinformatie.
In een alternatieve infectievolgorde waargenomen door Microsoft, is de ClickFix -strategie gebruikt om inline JavaScript -uitvoering mogelijk te maken, met behulp van een kwaadwillende PowerShell -opdracht om de node.js binary te downloaden en te gebruiken om JavaScript -code rechtstreeks uit te voeren, in plaats van uit een bestand.
Het inline JavaScript voert netwerkontdekkingsactiviteiten uit om activa van hoogwaardige activa te identificeren, vermomt het C2-verkeer als legitieme cloudflare-activiteit om onder de radar te vliegen en krijgt persistentie door Windows Registry Run-toetsen te wijzigen.
“Node.js is een open-source, platformoverschrijdende JavaScript Runtime-omgeving waarmee JavaScript-code buiten een webbrowser kan worden uitgevoerd,” zei de tech-gigant. “Het wordt veel gebruikt en vertrouwd door ontwikkelaars omdat het hen in staat stelt om frontend en backend -applicaties te bouwen.”
“Dreigingsactoren maken echter ook gebruik van deze Node.JS -kenmerken om te proberen malware te combineren met legitieme toepassingen, conventionele beveiligingscontroles om te gaan en in doelomgevingen aan te houden.”
De openbaarmaking komt wanneer CloudSek onthulde dat een nep-PDF-to-Docx Converter-site zich voordoet als PDF Candy (Candyxpdf (.) Com of CandyConverterPdf (.) Com) is gevonden voor het gebruik van de Clickfix Social Engineering-truc om de slachtoffers van de clickfix te gebruiken om de slachtoffers van de clickfix te gebruiken.
“De dreigingsactoren repliceerden zorgvuldig de gebruikersinterface van het echte platform en registreerden vergelijkbaar ogende domeinnamen om gebruikers te misleiden,” zei beveiligingsonderzoeker Varun Ajmera in een rapport dat deze week werd gepubliceerd.
“De aanvalsvector omvat het misleiden van slachtoffers om een PowerShell -commando uit te voeren dat ARECHCLIENT2 MALWARE installeert, een variant van de gevaarlijke Sectoprat Information Stealer -familie die bekend staat om het oogsten van gevoelige gegevens van gecompromitteerde systemen.”
PHIBE-campagnes zijn ook waargenomen met behulp van een PHP-gebaseerde kit om de werknemers van bedrijven met Human Resources (HR) -hema te richten op oplichting om ongeautoriseerde toegang tot loonportals te krijgen en de bankrekeninginformatie van slachtoffers te veranderen om fondsen door te sturen naar een account onder controle van de dreigingsacteur.
Sommige van deze activiteiten zijn toegeschreven aan een hackgroep genaamd Payroll Pirates, waarbij de aanvallers gebruik maken van kwaadwillende zoekcampagnes met gesponsorde phishing-websites en via Google verspoofde HR-pagina’s om niet vermenging van slachtoffers te lokken om hun referenties en tweefactorauthenticatie (2FA) -codes te verstrekken.
