Χάκερ κάνουν κατάχρηση του ConnectWise για να κρύψουν malware

secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More

Χάκερ κάνουν κατάχρηση του ConnectWise για να κρύψουν malware
https://www.secnews.gr/652056/hacker-kanoun-kataxrisi-connectwise-gia-kripsoun-malware/
Jun 25th 2025, 16:02
by Absenta Mia

Χάκερ τροποποιούν όλο και πιο συχνά νόμιμες εφαρμογές απομακρυσμένης πρόσβασης της ConnectWise, ώστε να αποκρύψουν malware και να θέσουν σε κίνδυνο συστήματα, προειδοποιεί η G Data.
Δείτε επίσης: Η ConnectWise αλλάζει τα πιστοποιητικά υπογραφής κώδικα


Κατά τη διερεύνηση πολλαπλών περιστατικών μολύνσεων από malware που προέρχονταν από πελάτες της ConnectWise, η G Data εντόπισε τη χρήση της τεχνικής "Authenticode stuffing", η οποία επιτρέπει την τροποποίηση νόμιμου λογισμικού για την εγκατάσταση κακόβουλου κώδικα, παρακάμπτοντας τα συστήματα ασφαλείας.
Η ψηφιακή υπογραφή Authenticode είναι μια τεχνική που επιτρέπει στους προγραμματιστές να ελέγχουν την ακεραιότητα ενός αρχείου. Ωστόσο, η ConnectWise χρησιμοποιεί μια παράκαμψη για να αποφύγει την εκ νέου υπογραφή των αρχείων όταν δημιουργεί εξατομικευμένους εγκαταστάτες, κάτι που ανοίγει τον δρόμο για κατάχρηση.
Συγκεκριμένα, η παράκαμψη αυτή βασίζεται στην αποθήκευση δεδομένων ρυθμίσεων στον πίνακα πιστοποιητικών, και οι επιτιθέμενοι χρησιμοποιούν την ίδια μέθοδο για να κρύψουν κακόβουλο κώδικα στον πίνακα.
Η τεχνική αυτή, γνωστή ως "Authenticode stuffing", έχει χρησιμοποιηθεί σε κακόβουλη εκστρατεία με την ονομασία EvilConwi, μέσω της οποίας διανέμεται malware μέσα από τροποποιημένους πελάτες της ConnectWise, που φαίνονται να περνούν τους ελέγχους ακεραιότητας και αυθεντικότητας.
Δείτε ακόμα: CISA: Ευπάθεια του ConnectWise ScreenConnect στον Κατάλογο KEV
Επειδή οι κακόβουλες ρυθμίσεις και τα φορτία έχουν ενσωματωθεί στον πίνακα ρυθμίσεων (configuration table), τα Windows δεν επαληθεύουν τα hash τους, και οι τροποποιημένοι εγκαταστάτες δεν ακυρώνουν την έγκυρη ψηφιακή υπογραφή.


Από τον Μάρτιο του 2025, η G Data έχει παρατηρήσει αύξηση στην κατάχρηση του ConnectWise για την εγκατάσταση malware. Κατά την ανάλυση μιας τροποποιημένης έκδοσης της εφαρμογής, αποκαλύφθηκε ότι οι επιτιθέμενοι χρησιμοποίησαν την τεχνική Authenticode stuffing όχι μόνο για να αποκρύψουν τον κακόβουλο κώδικα, αλλά και για να αποκρύψουν πλήρως την εγκατάσταση του ConnectWise client στο σύστημα.
Το τροποποιημένο λογισμικό παρουσιάζεται ψευδώς ως μετατροπέας AI σε εικόνα και απενεργοποιεί διάφορους οπτικούς δείκτες που θα μπορούσαν να ειδοποιήσουν τον χρήστη για την παρουσία του ConnectWise. Παράλληλα, προσομοιώνει μια ενημέρωση των Windows, εμφανίζοντας μια εικόνα οθόνης ενημέρωσης και καλεί τον χρήστη να διατηρήσει το σύστημα συνδεδεμένο στο διαδίκτυο. Εμφανίζει επίσης παραπλανητικά μηνύματα και τίτλους παραθύρων, με σκοπό να αποκρύψει ότι οι επιτιθέμενοι έχουν απομακρυσμένη πρόσβαση στο μολυσμένο σύστημα.
Δείτε επίσης: ConnectWise: Κρατικοί hackers πίσω από την κυβερνοεπίθεση;
Η εταιρεία ασφαλείας ενημέρωσε την ConnectWise για τις παρατηρούμενες εγκαταστάσεις malware στις 12 Ιουνίου και παρατήρησε ότι η εταιρεία ανακάλεσε την υπογραφή των παρατηρούμενων δειγμάτων στις 17 Ιουνίου.
Πηγή: securityweek



You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz