Un nou vierme auto-răspânditor numit ‘CMoon,’ capabil să fure credențiale de conturi și alte date, a fost distribuit în Rusia începând din iulie 2024 printr-un site web compromis al unei companii de furnizare de gaze.
Potrivit cercetătorilor de la Kaspersky care au descoperit campania, CMoon poate efectua o gamă largă de funcții, inclusiv încărcarea de încărcături suplimentare, realizarea de capturi de ecran și lansarea de atacuri de denegare distribuită a serviciului (DDoS).
Judecând după canalul de distribuție pe care l-au folosit actorii amenințării, scopul lor de targetare se concentrează pe ținte de mare valoare în loc de utilizatori aleatori de internet, ceea ce indică o operațiune sofisticată.
Kaspersky spune că lanțul de infecție începe atunci când utilizatorii dau clic pe linkuri către documente reglementare (docx, .xlsx, .rtf și .pdf) găsite pe diverse pagini ale site-ului unei companii care oferă servicii de gazificare și furnizare de gaze către un oraș rus.
Actorii amenințării au înlocuit linkurile documentelor cu linkuri către executabile malitioase, care au fost, de asemenea, găzduite pe site și livrate victimelor sub formă de arhive auto-extractibile care conțin documentul original și încărcătura CMoon, numită după linkul original.
„Nu am văzut alte vectori de distribuție a acestui malware, așa că credem că atacul vizează doar vizitatorii site-ului specific,” raportează Kaspersky.
După ce firma de gaze a fost notificată cu privire la această compromitere, fișierele și linkurile malitioase au fost eliminate de pe site-ul său pe 25 iulie 2024.
Cu toate acestea, datorită mecanismelor sale de auto-propagare, distribuția sa ar putea continua autonom.
CMoon este un vierme .NET care se copiază într-un folder nou creat numit după software-ul antivirus detectat pe dispozitivul compromis sau unul care seamănă cu un folder de sistem dacă nu sunt detectate AV-uri.
Viermele creează un shortcut în directorul de pornire al Windows pentru a se asigura că rulează la pornirea sistemului, asigurând persistența între reporniri.
Pentru a evita ridicarea de suspiciuni în timpul verificărilor manuale ale utilizatorilor, modifică datele de creare și de modificare ale fișierelor sale la 22 mai 2013.
Viermele monitorizează pentru unități USB conectate recent, iar atunci când sunt conectate la mașina infectată, înlocuiește toate fișierele cu excepția ‘LNKs’ și ‘EXEs’ cu scurtături către executabilul său.
CMoon caută, de asemenea, fișiere interesante stocate pe unitățile USB și le stochează temporar în directoare ascunse (‘.intelligence’ și ‘.usb’) înainte ca acestea să fie exfiltrate către serverul atacatorului.
CMoon prezintă funcționalitate standard de furt de informații, vizând portofele de criptomonede, date stocate în browsere web, aplicații de mesagerie, clienți FTP și SSH, și fișiere de documente în folderele USB sau ale utilizatorului care conțin șiruri de text ‘secret,’ ‘service’ sau ‘password.’
O caracteristică interesantă și destul de neobișnuită este vizarea fișierelor care ar putea conține credențiale de cont precum fișierele .pfx, .p12, .kdb, .kdbx, .lastpass, .psafe3, .pem, .key, .private, .asc, .gpg, .ovpn și .log.
Malware-ul poate descărca și executa încărcături suplimentare, captura capturi de ecran ale dispozitivului compromis și iniția atacuri DDoS asupra unor ținte specificate.
Fișierele furate și informațiile de sistem sunt ambalate și trimise către un server extern, unde sunt decriptate (RC4) și verificate pentru integritatea lor utilizând un hash MD5.
Kaspersky lasă deschisă posibilitatea ca mai multe site-uri în afara vizibilității sale actuale să distribuie CMoon, deci este recomandată vigilența.
Indiferent de cât de țintită ar putea fi această campanie, faptul că viermele se răspândesc autonom înseamnă că ar putea ajunge la sisteme neintenționate și ar putea crea condițiile pentru atacuri oportuniste.
Anunțuri false ale editorului AI pe Facebook împing malware-ul ce fură parole
StackExchange abuzat pentru a răspândi pachete PyPi malitioase ca răspunsuri
Pachete PyPi malitioase creează un tunel CloudFlare pentru a evita firewall-urile
Anunțurile Google împing un site fals de Google Authenticator care instalează malware
Google Chrome adaugă criptare legată de aplicație pentru a bloca malware-ul de furt de informații
Leave a Reply