Egy francia nyelvű, vállalati környezeteket célzó adathalász kampány során a támadók hamis önéletrajzokat használnak kriptobányász és adathalász szoftverek telepítésére.
A Securonix kutatói szerint a kampány Visual Basic Script (VBScript) fájlokat használ, amelyek önéletrajznak álcázva érkeznek phishing e-maileken keresztül. A rosszindulatú kód futtatása után egy többfunkciós eszközkészlet települ, amely egyszerre képes hitelesítő adatok megszerzésére, adatkinyerésre és Monero kriptovaluta bányászatára.
A FAUX#ELEVATE néven azonosított kampány során a támadók a következő infrastruktúrát használják:
- dropbox a payloadok tárolására,
- marokkói WordPress-oldalak a parancs- és vezérlőkonfigurációk (C2) hosztolására,
- mail[.]ru SMTP infrastruktúra a lopott böngészőadatok és helyi fájlok továbbítására.
Ez a támadás tipikus példája a „living-off-the-land” módszernek, amely során, a támadók meglévő rendszererőforrásokat kihasználva képesek kijátszani a védelmi mechanizmusokat és észrevétlenül bejutni a célrendszerbe.
A kezdeti dropper fájl VBScript formátumú, és megnyitáskor francia nyelvű hamis hibaüzenetet jelenít meg, így az áldozat azt hiheti, hogy a fájl sérült. A háttérben azonban a script sorozatos ellenőrzéseket hajt végre a sandboxok észlelésére és kijátszására, majd egy folyamatos User Account Control (UAC) hurkot indít, amely adminisztrátori jogosultságok megadására kéri a felhasználót.
A script 224 471 sorából mindössze 266 sor tartalmaz ténylegesen futattható kódot, a maradék véletlenszerű angol mondatokból álló komment, ami a fájl méretét 9,7 MB-ra növeli. A kód WMI-alapú (Windows Management Instrumentation) domain-ellenőrzést is végez, így csak vállalati gépeken aktiválódik.
Az adminisztrátori jogosultság megszerzése után a dropper letiltja a biztonsági ellenőrzéseket, elrejti működését, majd törli önmagát. A dropper két jelszóval védett 7-Zip archívumot is letölt a Dropboxról. A hitelesítő adatok megszerzésére több komponenst is alkalmaznak. A böngészőadatok továbbítása pedig két mail[.]ru fiókon keresztül történik. Az adatlopás és kriptobányászat befejeztével a támadási lánc automatikusan eltávolítja a telepített eszközök nyomait, minimalizálva a forenzikus jeleket, így a rendszerben végül csak a kriptobányász és trójai komponensek maradnak aktívak.
A Securonix szerint a FAUX#ELEVATE kampány egy jól szervezett, többlépcsős támadási művelet, amely több jelentős technikát kombinál egyetlen fertőzési láncban.
A támadást a vállalati biztonsági csapatok számára különösen veszélyessé teszi a gyors végrehajtás: a teljes fertőzési lánc mindössze 25 másodperc alatt zajlik le az első VBScript futtatásától a hitelesítő adatok exfiltrációjáig. A domain-hez csatlakozott gépek szelektív célzása biztosítja, hogy minden kompromittált rendszer maximális értéket biztosítson a támadók számára, a vállalati hitelesítő adatok ellopása és az erőforrások tartós kihasználása révén.