Κυβερνοεγκληματίες πίσω από μια καμπάνια που έχει ονομαστεί DEAD#VAX πηγαίνουν το phishing ένα βήμα παραπέρα, παραδίδοντας κακόβουλο λογισμικό μέσα σε εικονικούς σκληρούς δίσκους που προσποιούνται ότι είναι απλά έγγραφα PDF.
Σύμφωνα με το malwarebytes.com, αν ανοίξεις το λάθος «αρχείο», ενεργοποιείται αθόρυβα η εγκατάσταση του AsyncRAT, ενός backdoor Trojan που επιτρέπει στους δράστες να παρακολουθούν και να ελέγχουν απομακρυσμένα τον υπολογιστή σου.
Πρόκειται για εργαλείο απομακρυσμένης πρόσβασης, κάτι που σημαίνει ότι οι επιτιθέμενοι αποκτούν ουσιαστικά «χέρια στο πληκτρολόγιο» από απόσταση, ενώ οι παραδοσιακές άμυνες που βασίζονται σε αρχεία βλέπουν ελάχιστα ή και τίποτα ύποπτο στον δίσκο.
Σε γενικές γραμμές, η αλυσίδα μόλυνσης είναι μακρά, αλλά κάθε βήμα μοιάζει αρκετά νόμιμο από μόνο του ώστε να περνάει από πρόχειρους ελέγχους.
Τα θύματα λαμβάνουν emails phishing που μοιάζουν με τυπικά επαγγελματικά μηνύματα, συχνά με αναφορά σε εντολές αγοράς ή τιμολόγια και, ορισμένες φορές, με πλαστοπροσωπία πραγματικών εταιρειών. Το email δεν επισυνάπτει απευθείας κάποιο έγγραφο. Αντί γι’ αυτό, περιλαμβάνει σύνδεσμο προς αρχείο που φιλοξενείται στο IPFS (InterPlanetary File System), ένα αποκεντρωμένο δίκτυο αποθήκευσης που χρησιμοποιείται ολοένα και περισσότερο σε καμπάνιες phishing, επειδή το περιεχόμενο είναι δυσκολότερο να «κατέβει» και μπορεί να είναι προσβάσιμο μέσω κανονικών web gateways.
Το αρχείο που ανοίγει από τον σύνδεσμο έχει όνομα σαν PDF και εικονίδιο PDF, στην πραγματικότητα όμως είναι αρχείο εικονικού σκληρού δίσκου (VHD). Όταν ο χρήστης κάνει διπλό κλικ, τα Windows το προσαρτούν ως νέο drive (π.χ. δίσκο E:) αντί να ανοίξουν πρόγραμμα προβολής εγγράφων. Η προσάρτηση VHD είναι απολύτως νόμιμη λειτουργία των Windows, γι’ αυτό και το βήμα αυτό είναι λιγότερο πιθανό να σημάνει συναγερμό.
Μέσα στον προσαρτημένο δίσκο υπάρχει αυτό που φαίνεται να είναι το αναμενόμενο έγγραφο, αλλά στην πραγματικότητα είναι Windows Script File (WSF). Όταν ο χρήστης το ανοίξει, τα Windows εκτελούν τον κώδικα του αρχείου αντί να εμφανίσουν PDF.
Αφού προηγουμένως κάνει ορισμένους ελέγχους για να αποφύγει ανάλυση και εντοπισμό, το script «εγχέει» (inject) το payload -shellcode του AsyncRAT- σε αξιόπιστες διεργασίες υπογεγραμμένες από τη Microsoft, όπως RuntimeBroker.exe, OneDrive.exe, taskhostw.exe ή sihost.exe. Το κακόβουλο λογισμικό δεν γράφει ποτέ ένα κανονικό εκτελέσιμο αρχείο στον δίσκο. Παραμένει και «τρέχει» αποκλειστικά στη μνήμη, μέσα σε αυτές τις νόμιμες διεργασίες, γεγονός που δυσκολεύει σημαντικά τον εντοπισμό και, σε μεταγενέστερο στάδιο, την ψηφιακή διερεύνηση (forensics). Παράλληλα, αποφεύγει αιχμές σε δραστηριότητα ή χρήση μνήμης που θα μπορούσαν να τραβήξουν την προσοχή.
Για έναν μεμονωμένο χρήστη, το να πέσει θύμα αυτού του phishing email μπορεί να οδηγήσει σε:
- Κλοπή αποθηκευμένων και πληκτρολογημένων κωδικών, συμπεριλαμβανομένων email, τραπεζικών υπηρεσιών και social media.
- Έκθεση εμπιστευτικών εγγράφων, φωτογραφιών ή άλλων ευαίσθητων αρχείων που λαμβάνονται απευθείας από το σύστημα.
- Παρακολούθηση μέσω περιοδικών screenshots ή, όπου έχει ρυθμιστεί, λήψη εικόνας από webcam.
- Χρήση του υπολογιστή ως «βάση» (foothold) για επίθεση σε άλλες συσκευές στο ίδιο οικιακό ή εταιρικό δίκτυο.
Πώς να μείνεις ασφαλής
Επειδή ο εντοπισμός μπορεί να είναι δύσκολος, είναι κρίσιμο οι χρήστες να κάνουν ορισμένους ελέγχους:
- Μην ανοίγεις συνημμένα email πριν επαληθεύσεις, από αξιόπιστη πηγή, ότι είναι νόμιμα.
- Βεβαιώσου ότι βλέπεις τις πραγματικές επεκτάσεις αρχείων. Δυστυχώς, τα Windows επιτρέπουν να είναι κρυφές. Έτσι, ενώ στην πραγματικότητα το αρχείο μπορεί να λέγεται invoice.pdf.vhd, ο χρήστης θα βλέπει μόνο invoice.pdf. Για το πώς γίνεται, δες παρακάτω.
- Χρησιμοποίησε ενημερωμένη λύση anti-malware σε πραγματικό χρόνο που μπορεί να εντοπίζει κακόβουλο λογισμικό που «κρύβεται» στη μνήμη.
Εμφάνιση επεκτάσεων αρχείων σε Windows 10 και 11
Για να εμφανίσεις τις επεκτάσεις αρχείων στα Windows 10 και 11:
- Άνοιξε τον Explorer (πλήκτρο Windows + E)
- Στα Windows 10, πήγαινε στο View και τσέκαρε το File name extensions.
- Στα Windows 11, θα το βρεις στο View > Show > File name extensions.
- Εναλλακτικά, αναζήτησε “File Explorer Options” και αποεπίλεξε το Hide extensions for known file types.
