Η UAC-0226 αναπτύσσει το GIFTEDCROOK Stealer μέσω Excel
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η UAC-0226 αναπτύσσει το GIFTEDCROOK Stealer μέσω Excel
https://www.secnews.gr/645664/uac-0226-anaptissei-giftedcrook-stealer-meso-excel/
Apr 8th 2025, 14:45
by Absenta Mia
Η Computer Emergency Response Team της Ουκρανίας (CERT-UA) ανακοίνωσε ένα νέο σύνολο κυβερνοεπιθέσεων που στοχεύουν ουκρανικούς θεσμούς με το κακόβουλο λογισμικό GIFTEDCROOK Stealer.
Δείτε επίσης: Valve Steam: Αφαίρεση game demo που μόλυνε συστήματα με info-stealer
Η δραστηριότητα αυτή επικεντρώνεται σε στρατιωτικές μονάδες, υπηρεσίες επιβολής του νόμου και τοπικές αρχές αυτοδιοίκησης, ιδίως σε αυτές που βρίσκονται κοντά στα ανατολικά σύνορα της Ουκρανίας, σύμφωνα με την υπηρεσία.
Οι επιθέσεις περιλαμβάνουν την αποστολή phishing emails που περιέχουν ένα υπολογιστικό φύλλο Microsoft Excel (XLSM) με δυνατότητα μακροεντολών, το οποίο, όταν ανοίξει, διευκολύνει την εκτέλεση δύο κακόβουλων προγραμμάτων: ενός script PowerShell που έχει ληφθεί από το αποθετήριο PSSW100AVB ("Powershell Scripts With 100% AV Bypass") και ανοίγει μια αντίστροφη σύνδεση, καθώς και ενός προηγουμένως μη καταγεγραμμένου προγράμματος κλοπής που ονομάζεται GIFTEDCROOK Stealer.
Γραμμένο σε C/C++, το GIFTEDCROOK διευκολύνει την κλοπή ευαίσθητων δεδομένων από web browsers όπως ο Google Chrome, ο Microsoft Edge και ο Mozilla Firefox, περιλαμβάνοντας cookies, ιστορικό περιήγησης και δεδομένα αυθεντικοποίησης.
Τα email αποστέλλονται από παραβιασμένους λογαριασμούς, συχνά μέσω της διαδικτυακής διεπαφής των email clients, προκειμένου να προσδώσουν στα μηνύματα μια αίσθηση νομιμότητας και να παρασύρουν τα υποψήφια θύματα να ανοίξουν τα έγγραφα. Η CERT-UA έχει αποδώσει αυτή τη δραστηριότητα σε μια ομάδα απειλών, γνωστή ως UAC-0226, αν και δεν έχει συνδεθεί με συγκεκριμένη χώρα.
Δείτε ακόμα: Το Phantom Goblin παραδίδει stealer malware
Η εξέλιξη αυτή σχετίζεται με μία ύποπτη ομάδα κατασκοπείας που συνδέεται με τη Ρωσία και ονομάζεται UNC5837, ο οποίος έχει συνδεθεί με μια εκστρατεία phishing που στοχεύει σε ευρωπαϊκούς κυβερνητικούς και στρατιωτικούς οργανισμούς τον Οκτώβριο του 2024.
Η UAC-0226 αναπτύσσει το GIFTEDCROOK Stealer μέσω του Excel
Αξιοσημείωτο είναι ότι η εκστρατεία RDP είχε καταγραφεί προηγουμένως από τις CERT-UA, Amazon Web Services και Microsoft τον Οκτώβριο του 2024 και αργότερα από την Trend Micro τον Δεκέμβριο. Η CERT-UA παρακολουθεί τη δραστηριότητα αυτή με την ονομασία UAC-0215, ενώ οι άλλοι την έχουν αποδώσει στην ομάδα χάκερ APT29, η οποία υποστηρίζεται από το ρωσικό κράτος.
Η επίθεση είναι επίσης αξιοσημείωτη για την πιθανή χρήση ενός εργαλείου ανοιχτού κώδικα που ονομάζεται PyRDP, το οποίο αυτοματοποιεί κακόβουλες δραστηριότητες όπως η εξαγωγή αρχείων και η καταγραφή του clipboard, περιλαμβάνοντας ενδεχομένως ευαίσθητα δεδομένα όπως κωδικούς πρόσβασης.
Τους τελευταίους μήνες, έχουν παρατηρηθεί εκστρατείες phishing που χρησιμοποιούν ψεύτικα CAPTCHAs και Cloudflare Turnstile για τη διανομή του Legion Loader (γνωστό και ως Satacom), ο οποίος στη συνέχεια λειτουργεί ως μέσο για την εγκατάσταση μιας κακόβουλης επέκτασης προγράμματος περιήγησης βασισμένης σε Chromium με την ονομασία "Save to Google Drive."
Η σελίδα ζητά από τους χρήστες να επιτρέψουν ειδοποιήσεις στον ιστότοπο και στη συνέχεια τα θύματα ανακατευθύνονται σε ένα δεύτερο CAPTCHA Cloudflare Turnstile, το οποίο, μετά την ολοκλήρωσή του, τους ανακατευθύνει ξανά σε μια σελίδα που παρέχει οδηγίες τύπου ClickFix για τη λήψη του εγγράφου που αναζητούν.
Δείτε επίσης: Have I Been Pwned: 284 εκατ. λογαριασμοί κλάπηκαν μέσω info-stealer malware
Τα infostealer (ή "κλοπείς πληροφοριών"), όπως το GIFTEDCROOK Stealer, είναι κακόβουλα προγράμματα (malware) που σχεδιάζονται για να κλέβουν προσωπικές ή ευαίσθητες πληροφορίες από έναν υπολογιστή ή μια συσκευή. Τα infostealers μπορεί να μεταδοθούν μέσω διαφόρων μεθόδων, όπως μέσω email (phishing), κακόβουλων ιστοσελίδων ή άλλων τύπων κακόβουλων λογισμικών που μολύνουν τον υπολογιστή του χρήστη. Ο κύριος στόχος των infostealers είναι να αποκτήσουν πρόσβαση σε προσωπικές πληροφορίες και να τις μεταδώσουν σε έναν απομακρυσμένο διακομιστή ή σε εγκληματίες του κυβερνοχώρου, οι οποίοι στη συνέχεια τις χρησιμοποιούν για να πραγματοποιήσουν κλοπές ταυτοτήτων, τραπεζικές απάτες ή άλλες παράνομες ενέργειες. Για να προστατευτείτε από τέτοιες απειλές, είναι σημαντικό να έχετε ενημερωμένο λογισμικό ασφαλείας (antivirus), να αποφεύγετε να ανοίγετε αμφίβολα email ή συνδέσμους και να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η UAC-0226 αναπτύσσει το GIFTEDCROOK Stealer μέσω Excel
https://www.secnews.gr/645664/uac-0226-anaptissei-giftedcrook-stealer-meso-excel/
Apr 8th 2025, 14:45
by Absenta Mia
Η Computer Emergency Response Team της Ουκρανίας (CERT-UA) ανακοίνωσε ένα νέο σύνολο κυβερνοεπιθέσεων που στοχεύουν ουκρανικούς θεσμούς με το κακόβουλο λογισμικό GIFTEDCROOK Stealer.
Δείτε επίσης: Valve Steam: Αφαίρεση game demo που μόλυνε συστήματα με info-stealer
Η δραστηριότητα αυτή επικεντρώνεται σε στρατιωτικές μονάδες, υπηρεσίες επιβολής του νόμου και τοπικές αρχές αυτοδιοίκησης, ιδίως σε αυτές που βρίσκονται κοντά στα ανατολικά σύνορα της Ουκρανίας, σύμφωνα με την υπηρεσία.
Οι επιθέσεις περιλαμβάνουν την αποστολή phishing emails που περιέχουν ένα υπολογιστικό φύλλο Microsoft Excel (XLSM) με δυνατότητα μακροεντολών, το οποίο, όταν ανοίξει, διευκολύνει την εκτέλεση δύο κακόβουλων προγραμμάτων: ενός script PowerShell που έχει ληφθεί από το αποθετήριο PSSW100AVB ("Powershell Scripts With 100% AV Bypass") και ανοίγει μια αντίστροφη σύνδεση, καθώς και ενός προηγουμένως μη καταγεγραμμένου προγράμματος κλοπής που ονομάζεται GIFTEDCROOK Stealer.
Γραμμένο σε C/C++, το GIFTEDCROOK διευκολύνει την κλοπή ευαίσθητων δεδομένων από web browsers όπως ο Google Chrome, ο Microsoft Edge και ο Mozilla Firefox, περιλαμβάνοντας cookies, ιστορικό περιήγησης και δεδομένα αυθεντικοποίησης.
Τα email αποστέλλονται από παραβιασμένους λογαριασμούς, συχνά μέσω της διαδικτυακής διεπαφής των email clients, προκειμένου να προσδώσουν στα μηνύματα μια αίσθηση νομιμότητας και να παρασύρουν τα υποψήφια θύματα να ανοίξουν τα έγγραφα. Η CERT-UA έχει αποδώσει αυτή τη δραστηριότητα σε μια ομάδα απειλών, γνωστή ως UAC-0226, αν και δεν έχει συνδεθεί με συγκεκριμένη χώρα.
Δείτε ακόμα: Το Phantom Goblin παραδίδει stealer malware
Η εξέλιξη αυτή σχετίζεται με μία ύποπτη ομάδα κατασκοπείας που συνδέεται με τη Ρωσία και ονομάζεται UNC5837, ο οποίος έχει συνδεθεί με μια εκστρατεία phishing που στοχεύει σε ευρωπαϊκούς κυβερνητικούς και στρατιωτικούς οργανισμούς τον Οκτώβριο του 2024.
Η UAC-0226 αναπτύσσει το GIFTEDCROOK Stealer μέσω του Excel
Αξιοσημείωτο είναι ότι η εκστρατεία RDP είχε καταγραφεί προηγουμένως από τις CERT-UA, Amazon Web Services και Microsoft τον Οκτώβριο του 2024 και αργότερα από την Trend Micro τον Δεκέμβριο. Η CERT-UA παρακολουθεί τη δραστηριότητα αυτή με την ονομασία UAC-0215, ενώ οι άλλοι την έχουν αποδώσει στην ομάδα χάκερ APT29, η οποία υποστηρίζεται από το ρωσικό κράτος.
Η επίθεση είναι επίσης αξιοσημείωτη για την πιθανή χρήση ενός εργαλείου ανοιχτού κώδικα που ονομάζεται PyRDP, το οποίο αυτοματοποιεί κακόβουλες δραστηριότητες όπως η εξαγωγή αρχείων και η καταγραφή του clipboard, περιλαμβάνοντας ενδεχομένως ευαίσθητα δεδομένα όπως κωδικούς πρόσβασης.
Τους τελευταίους μήνες, έχουν παρατηρηθεί εκστρατείες phishing που χρησιμοποιούν ψεύτικα CAPTCHAs και Cloudflare Turnstile για τη διανομή του Legion Loader (γνωστό και ως Satacom), ο οποίος στη συνέχεια λειτουργεί ως μέσο για την εγκατάσταση μιας κακόβουλης επέκτασης προγράμματος περιήγησης βασισμένης σε Chromium με την ονομασία "Save to Google Drive."
Η σελίδα ζητά από τους χρήστες να επιτρέψουν ειδοποιήσεις στον ιστότοπο και στη συνέχεια τα θύματα ανακατευθύνονται σε ένα δεύτερο CAPTCHA Cloudflare Turnstile, το οποίο, μετά την ολοκλήρωσή του, τους ανακατευθύνει ξανά σε μια σελίδα που παρέχει οδηγίες τύπου ClickFix για τη λήψη του εγγράφου που αναζητούν.
Δείτε επίσης: Have I Been Pwned: 284 εκατ. λογαριασμοί κλάπηκαν μέσω info-stealer malware
Τα infostealer (ή "κλοπείς πληροφοριών"), όπως το GIFTEDCROOK Stealer, είναι κακόβουλα προγράμματα (malware) που σχεδιάζονται για να κλέβουν προσωπικές ή ευαίσθητες πληροφορίες από έναν υπολογιστή ή μια συσκευή. Τα infostealers μπορεί να μεταδοθούν μέσω διαφόρων μεθόδων, όπως μέσω email (phishing), κακόβουλων ιστοσελίδων ή άλλων τύπων κακόβουλων λογισμικών που μολύνουν τον υπολογιστή του χρήστη. Ο κύριος στόχος των infostealers είναι να αποκτήσουν πρόσβαση σε προσωπικές πληροφορίες και να τις μεταδώσουν σε έναν απομακρυσμένο διακομιστή ή σε εγκληματίες του κυβερνοχώρου, οι οποίοι στη συνέχεια τις χρησιμοποιούν για να πραγματοποιήσουν κλοπές ταυτοτήτων, τραπεζικές απάτες ή άλλες παράνομες ενέργειες. Για να προστατευτείτε από τέτοιες απειλές, είναι σημαντικό να έχετε ενημερωμένο λογισμικό ασφαλείας (antivirus), να αποφεύγετε να ανοίγετε αμφίβολα email ή συνδέσμους και να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια