VLC media plejer se iskorišćava radi slanja malwarea
Otkriveno je da su sajber kriminalci zloupotrebljavali popularni multimedijalni plejer VLC da bi isporučili Cobalt Strike beacons-e metama u Australiji.
Neko zloupotrebljava VLC da bi pokrenuo napade sa bočnim učitavanjem
Kampanja uključuje SEO trovanje i malware Gootkit loader i cilja na žrtve koje traže zdravstvene ustanove u Australiji. Malware je otkrio Trend Micro, sa opisom kako su akteri pretnji kreirali zlonamernu web lokaciju, dizajniranu da izgleda kao forum, gde je korisnik delio šablon dokumenta ugovora o zdravstvenoj zaštiti unutar ZIP arhive, kao odgovor na upit. Zatim, da bi se web lokacija visoko rangirala na Google-u, „zatrovali“ su stranice rezultata browsera dodavanjem linka ka zlonamernom sajtu u što je moguće više članaka i postova na društvenim mrežama na mreži.
Kad god je web lokacija u velikoj meri linkovana, Google-ov algoritam je doživljava kao autoritativnu i gura je više na svojim stranicama sa rezultatima. U ovoj kampanji, istraživači su otkrili da je zlonamerna web lokacija visoko rangirana za ključne reči vezane za medicinu kao što su „bolnica“, „zdravlje“, „medicina“ i „sporazum“ – uparene sa nazivima gradova u Australiji. Žrtve koje padnu na trik i preuzmu zlonamernu ZIP arhivu na svoje krajnje tačke, bi zapravo dobile komponente za učitavanje Gootkit-a koje kasnije ispuštaju PowerShell skriptu koja preuzima više malwarea na ciljni uređaj. Među fajlovima koje učitavač preuzima je legitimna, potpisana kopija VLC media plejera i zlonamerna DLL datoteka koja, kada se pokrene, primenjuje Cobalt Strike beacon. Datoteka VLC media plejera je prikazana kao usluga Microsoft Distributed Transaction Coordinator (MSDTC). Ako ga korisnik pokrene, VLC će potražiti DLL datoteku i pokrenuti je, inficirajući uređaj u onome što je opšte poznato kao napad sa bočnim učitavanjem.
Cobalt Strike je komercijalni alat za pentestiranje koji omogućava korisniku da postavi agenta pod nazivom ‘Beacon’ na mašini žrtve. Sajber kriminalci ga koriste da skeniraju ciljnu mrežu, pomeraju se bočno, kradu lozinke i druge osetljive podatke i postavljaju razorniji malware. Cobalt Strike beacons su često praćeni napadom ransomware-a.
Izvor: Techradar