Kyberbezpečnostní experti varují před novou kampaní, která využívá crackované verze softwaru jako návnadu k distribuci informačních krádeží, jako jsou Lumma a ACR Stealer.

Centrum bezpečnostní inteligence AhnLab (ASEC) uvedlo, že od ledna 2025 zaznamenalo nárůst objemu distribuce ACR Stealer. Významným aspektem tohoto malwaru je použití techniky zvané „dead drop resolver“ k extrakci skutečného serveru pro příkazy a řízení (C2). To zahrnuje spoléhání se na legitimní služby, jako jsou Steam, Telegram’s Telegraph, Google Forms a Google Slides.

„Útočníci zadávají skutečnou doménu C2 v Base64 kódování na konkrétní stránce,“ uvedlo ASEC. „Malware přistupuje na tuto stránku, analyzuje řetězec a získává skutečnou adresu domény C2, aby mohl provádět škodlivé aktivity.“

ACR Stealer, dříve distribuovaný prostřednictvím malwaru Hijack Loader, je schopen shromažďovat širokou škálu informací z kompromitovaných systémů, včetně souborů, dat z webových prohlížečů a rozšíření kryptoměnových peněženek.

Tento vývoj přichází v době, kdy ASEC odhalilo další kampaň, která využívá soubory s příponou „MSC“, které mohou být spuštěny prostřednictvím Microsoft Management Console (MMC), k doručení malwaru Rhadamanthys Stealer. „Existují dva typy MSC malwaru: jeden zneužívá zranitelnost apds.dll (CVE-2024-43572) a druhý spouští příkaz ‚command‘ pomocí Console Taskpad,“ uvedla jihokorejská společnost. „Soubor MSC je maskován jako dokument MS Word. Po kliknutí na tlačítko ‚Otevřít‘ stáhne a spustí PowerShell skript z externího zdroje. Stažený PowerShell skript obsahuje EXE soubor (Rhadamanthys).“

CVE-2024-43572, také nazývaná GrimResource, byla poprvé zdokumentována laboratořemi Elastic Security Labs v červnu 2024 jako zranitelnost zneužívaná útočníky jako zero-day. Microsoft ji opravil v říjnu 2024.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS