Bedreigingsactoren maken sinds december 2023 gebruik van nepwebsites die reclame maken voor populaire software voor videoconferenties, zoals Google Meet, Skype en Zoom, om een verscheidenheid aan malware te verspreiden die zich richt op zowel Android- als Windows-gebruikers.
“De bedreigingsacteur verspreidt Remote Access Trojans (RAT’s), waaronder SpyNote RAT voor Android-platforms, en NjRAT en DCRat voor Windows-systemen”, aldus Zscaler ThreatLabz-onderzoekers.
De vervalste sites zijn in het Russisch en worden gehost op domeinen die sterk lijken op hun legitieme tegenhangers, wat erop wijst dat de aanvallers typosquatting-trucs gebruiken om potentiële slachtoffers ertoe te verleiden de malware te downloaden.
Ze worden ook geleverd met opties om de app te downloaden voor Android-, iOS- en Windows-platforms. Terwijl klikken op de knop voor Android een APK-bestand downloadt, activeert het klikken op de Windows-app-knop het downloaden van een batchscript.
Het kwaadaardige batchscript is verantwoordelijk voor het uitvoeren van een PowerShell-script, dat op zijn beurt de trojan voor externe toegang downloadt en uitvoert.
Momenteel is er geen bewijs dat de bedreigingsacteur zich richt op iOS-gebruikers, aangezien het klikken op de knop voor de iOS-app de gebruiker naar de legitieme Apple App Store-vermelding voor Skype brengt.
“Een bedreigingsacteur gebruikt deze lokmiddelen om RAT’s voor Android en Windows te verspreiden, die vertrouwelijke informatie kunnen stelen, toetsaanslagen kunnen registreren en bestanden kunnen stelen”, aldus de onderzoekers.
De ontwikkeling komt op het moment dat het AhnLab Security Intelligence Center (ASEC) onthulde dat een nieuwe malware genaamd WogRAT, gericht op zowel Windows als Linux, een gratis online kladblokplatform genaamd aNotepad misbruikt als een geheime vector voor het hosten en ophalen van kwaadaardige code.
Er wordt gezegd dat het in ieder geval eind 2022 actief zal zijn en zich richt op onder meer Aziatische landen als China, Hong Kong, Japan en Singapore. Dat gezegd hebbende, is het momenteel niet bekend hoe de malware in het wild wordt verspreid.
“Wanneer WogRAT voor de eerste keer wordt uitgevoerd, verzamelt het basisinformatie van het geïnfecteerde systeem en stuurt deze naar de C&C-server”, aldus ASEC. “De malware ondersteunt vervolgens opdrachten zoals het uitvoeren van opdrachten, het verzenden van resultaten, het downloaden van bestanden en het uploaden van deze bestanden.”
Het valt ook samen met grootschalige phishing-campagnes die worden georkestreerd door een financieel gemotiveerde cybercrimineel, bekend als TA4903, om bedrijfsreferenties te stelen en deze waarschijnlijk te volgen met zakelijke e-mailcompromisaanvallen (BEC). De tegenstander is in ieder geval sinds 2019 actief en de activiteiten worden na medio 2023 steeds intensiever.
“TA4903 voert routinematig campagnes uit waarbij verschillende Amerikaanse overheidsinstanties worden voor de gek gehouden om bedrijfsreferenties te stelen”, aldus Proofpoint. “De acteur vervalst ook organisaties in verschillende sectoren, waaronder de bouw, financiën, gezondheidszorg, voedsel en drank, en andere.”
Aanvalsketens omvatten het gebruik van QR-codes (ook wel quishing genoemd) voor phishing met inloggegevens en het vertrouwen op de EvilProxy adversary-in-the-middle (AiTM) phishing-kit om tweefactorauthenticatie (2FA) te omzeilen.
Zodra een doelmailbox is gecompromitteerd, is waargenomen dat de bedreigingsacteur op zoek is naar informatie die relevant is voor betalingen, facturen en bankgegevens, met als uiteindelijk doel bestaande e-mailthreads te kapen en factuurfraude uit te voeren.
Phishing-campagnes hebben ook gefunctioneerd als kanaal voor andere malwarefamilies zoals DarkGate, Agent Tesla en Remcos RAT, waarvan de laatste gebruikmaakt van steganografische lokvogels om de malware op gecompromitteerde hosts te laten vallen.
