Χάκερ χρησιμοποιούν αρχεία Polyglot για να στείλουν κακόβουλα email
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ χρησιμοποιούν αρχεία Polyglot για να στείλουν κακόβουλα email
https://www.secnews.gr/654039/hacker-xrisimopoioun-arxeia-polyglot-gia-steiloun-kakovoula-email/
Jul 16th 2025, 16:59
by Absenta Mia
Κατά την τελευταία εβδομάδα του Ιουνίου 2025, οι ομάδες ασφαλείας στους τομείς της υγείας και της τεχνολογίας σε όλη τη Ρωσία άρχισαν να λαμβάνουν έναν ασυνήθιστα μεγάλο αριθμό από email που σχετίζονταν με logistics και συμβάσεις και περιέχουν αρχεία Polyglot.
Δείτε επίσης: Οι AI περιλήψεις email του Gmail μπορούν να παραβιαστούν
Πίσω από γνώριμες θεματικές γραμμές και έγκυρες διευθύνσεις αποστολέων, τα μηνύματα περιείχαν αρχεία που έμοιαζαν με συνηθισμένα ZIP, αλλά στην πραγματικότητα συμπεριφέρονταν σαν εκτελέσιμες βιβλιοθήκες.
Αυτή η υβριδική μορφή — γνωστή ως polyglot — κατάφερε να διαφύγει τον εντοπισμό από τα περισσότερα συστήματα ασφαλείας ηλεκτρονικού ταχυδρομείου, επιτρέποντας στους επιτιθέμενους να εγκαταστήσουν κακόβουλο λογισμικό απευθείας στους σταθμούς εργασίας των υπαλλήλων. Οι αναλυτές της Bi.Zone συνέδεσαν γρήγορα αυτό το κύμα επιθέσεων με την απειλή Rainbow Hyena και ανακάλυψαν ότι κάθε αρχείο ήταν ταυτόχρονα ένα PE32+ DLL και ένα ZIP κοντέινερ. Επειδή τα φίλτρα e-mail έλεγχαν μόνο την κεφαλίδα ZIP, το επικίνδυνο τμήμα DLL παρέμενε απαρατήρητο έως ότου ο χρήστης αλληλεπιδράσει με το αρχείο.
Οι παραβιασμένοι εταιρικοί λογαριασμοί e-mail, και όχι παραποιημένοι τομείς, παρείχαν επιπλέον νομιμοφάνεια, δίνοντας στους επιτιθέμενους έναν σχεδόν τέλειο μηχανισμό διανομής που δεν απαιτούσε έγγραφα με μακροεντολές ή εμφανή εκτελέσιμα αρχεία. Μόλις το θύμα έκανε διπλό κλικ στο συνημμένο αρχείο, τα Windows το αντιμετώπιζαν ως έναν συμπιεσμένο φάκελο, ο οποίος εμφάνιζε μία και μόνο συντόμευση.
Δείτε ακόμα: Το Microsoft Defender αποκλείει πλέον επιθέσεις email bombing
Το εικονίδιο της συντόμευσης μιμούνταν μια ενημέρωση σύμβασης, αλλά ο προορισμός της ενεργοποιούσε το PowerShell με παραμέτρους για εκτέλεση σε κρυφό παράθυρο, πραγματοποιώντας αναζήτηση στον δίσκο για το πολυμορφικό αρχείο (polyglot) και εκκινώντας το μέσω του rundll32.exe.
Χάκερ χρησιμοποιούν αρχεία Polyglot για να στείλουν κακόβουλα email
Ταυτόχρονα, ένα ακίνδυνο φύλλο Excel εξαγόταν στον προσωρινό φάκελο (%TEMP%) και άνοιγε αυτόματα, καλύπτοντας τη μόλυνση με ένα έγγραφο που έμοιαζε αυθεντικό. Σύμφωνα με τα πρώτα δεδομένα τηλεμετρίας, σε πολλές περιπτώσεις η πλήρης εγκατάσταση του backdoor ολοκληρωνόταν σε λιγότερο από πέντε λεπτά από το αρχικό κλικ.
Το PhantomRemote — το προσαρμοσμένο ωφέλιμο φορτίο που περιέχεται μέσα στο DLL — επιτρέπει απομακρυσμένη εκτέλεση εντολών, λήψη αρχείων και καταγραφή συστημικών πληροφοριών μέσω απλού HTTP, χρησιμοποιώντας User-Agent συμβολοσειρές όπως "YandexCloud/1.0" ή "MicrosoftAppStore/2001.0" ώστε να ενσωματώνεται στο κανονικό εξερχόμενο δίκτυο.
Ακόμα και μετά τον εντοπισμό της απειλής σε επίπεδο περιμέτρου, οι αναλυτές παρατηρούν ότι η επίμονη παρουσία σε σταθμούς εργασίας επέτρεψε στον εισβολέα να διατηρήσει την πρόσβαση μέχρι να γίνει χειροκίνητος καθαρισμός.
Δείτε επίσης: Microsoft 365: Phishing επιθέσεις καταχρώνται το 'Direct Send'
Η υπόθεση αυτή αποτελεί υπενθύμιση ότι ακόμη και οι πιο "καθημερινές" ενδείξεις – όπως ένα φαινομενικά αθώο email με συμβατικό περιεχόμενο – μπορεί να είναι όχημα για προηγμένες και στοχευμένες επιθέσεις, ειδικά όταν συνοδεύονται από social engineering, τεχνική δεξιοτεχνία και καλή γνώση της ανθρώπινης ψυχολογίας.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ χρησιμοποιούν αρχεία Polyglot για να στείλουν κακόβουλα email
https://www.secnews.gr/654039/hacker-xrisimopoioun-arxeia-polyglot-gia-steiloun-kakovoula-email/
Jul 16th 2025, 16:59
by Absenta Mia
Κατά την τελευταία εβδομάδα του Ιουνίου 2025, οι ομάδες ασφαλείας στους τομείς της υγείας και της τεχνολογίας σε όλη τη Ρωσία άρχισαν να λαμβάνουν έναν ασυνήθιστα μεγάλο αριθμό από email που σχετίζονταν με logistics και συμβάσεις και περιέχουν αρχεία Polyglot.
Δείτε επίσης: Οι AI περιλήψεις email του Gmail μπορούν να παραβιαστούν
Πίσω από γνώριμες θεματικές γραμμές και έγκυρες διευθύνσεις αποστολέων, τα μηνύματα περιείχαν αρχεία που έμοιαζαν με συνηθισμένα ZIP, αλλά στην πραγματικότητα συμπεριφέρονταν σαν εκτελέσιμες βιβλιοθήκες.
Αυτή η υβριδική μορφή — γνωστή ως polyglot — κατάφερε να διαφύγει τον εντοπισμό από τα περισσότερα συστήματα ασφαλείας ηλεκτρονικού ταχυδρομείου, επιτρέποντας στους επιτιθέμενους να εγκαταστήσουν κακόβουλο λογισμικό απευθείας στους σταθμούς εργασίας των υπαλλήλων. Οι αναλυτές της Bi.Zone συνέδεσαν γρήγορα αυτό το κύμα επιθέσεων με την απειλή Rainbow Hyena και ανακάλυψαν ότι κάθε αρχείο ήταν ταυτόχρονα ένα PE32+ DLL και ένα ZIP κοντέινερ. Επειδή τα φίλτρα e-mail έλεγχαν μόνο την κεφαλίδα ZIP, το επικίνδυνο τμήμα DLL παρέμενε απαρατήρητο έως ότου ο χρήστης αλληλεπιδράσει με το αρχείο.
Οι παραβιασμένοι εταιρικοί λογαριασμοί e-mail, και όχι παραποιημένοι τομείς, παρείχαν επιπλέον νομιμοφάνεια, δίνοντας στους επιτιθέμενους έναν σχεδόν τέλειο μηχανισμό διανομής που δεν απαιτούσε έγγραφα με μακροεντολές ή εμφανή εκτελέσιμα αρχεία. Μόλις το θύμα έκανε διπλό κλικ στο συνημμένο αρχείο, τα Windows το αντιμετώπιζαν ως έναν συμπιεσμένο φάκελο, ο οποίος εμφάνιζε μία και μόνο συντόμευση.
Δείτε ακόμα: Το Microsoft Defender αποκλείει πλέον επιθέσεις email bombing
Το εικονίδιο της συντόμευσης μιμούνταν μια ενημέρωση σύμβασης, αλλά ο προορισμός της ενεργοποιούσε το PowerShell με παραμέτρους για εκτέλεση σε κρυφό παράθυρο, πραγματοποιώντας αναζήτηση στον δίσκο για το πολυμορφικό αρχείο (polyglot) και εκκινώντας το μέσω του rundll32.exe.
Χάκερ χρησιμοποιούν αρχεία Polyglot για να στείλουν κακόβουλα email
Ταυτόχρονα, ένα ακίνδυνο φύλλο Excel εξαγόταν στον προσωρινό φάκελο (%TEMP%) και άνοιγε αυτόματα, καλύπτοντας τη μόλυνση με ένα έγγραφο που έμοιαζε αυθεντικό. Σύμφωνα με τα πρώτα δεδομένα τηλεμετρίας, σε πολλές περιπτώσεις η πλήρης εγκατάσταση του backdoor ολοκληρωνόταν σε λιγότερο από πέντε λεπτά από το αρχικό κλικ.
Το PhantomRemote — το προσαρμοσμένο ωφέλιμο φορτίο που περιέχεται μέσα στο DLL — επιτρέπει απομακρυσμένη εκτέλεση εντολών, λήψη αρχείων και καταγραφή συστημικών πληροφοριών μέσω απλού HTTP, χρησιμοποιώντας User-Agent συμβολοσειρές όπως "YandexCloud/1.0" ή "MicrosoftAppStore/2001.0" ώστε να ενσωματώνεται στο κανονικό εξερχόμενο δίκτυο.
Ακόμα και μετά τον εντοπισμό της απειλής σε επίπεδο περιμέτρου, οι αναλυτές παρατηρούν ότι η επίμονη παρουσία σε σταθμούς εργασίας επέτρεψε στον εισβολέα να διατηρήσει την πρόσβαση μέχρι να γίνει χειροκίνητος καθαρισμός.
Δείτε επίσης: Microsoft 365: Phishing επιθέσεις καταχρώνται το 'Direct Send'
Η υπόθεση αυτή αποτελεί υπενθύμιση ότι ακόμη και οι πιο "καθημερινές" ενδείξεις – όπως ένα φαινομενικά αθώο email με συμβατικό περιεχόμενο – μπορεί να είναι όχημα για προηγμένες και στοχευμένες επιθέσεις, ειδικά όταν συνοδεύονται από social engineering, τεχνική δεξιοτεχνία και καλή γνώση της ανθρώπινης ψυχολογίας.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz