Ερευνητές της ESET εντόπισαν στοχευμένες κυβερνοεπιθέσεις που πραγματοποιήθηκαν μέσω μηνυμάτων στο LinkedIn, που εκτός από την κατασκοπεία είχαν στόχο και το οικονομικό όφελος.
Οι συγκεκριμένες κυβερνοεπιθέσεις διακρίνονται για τη χρήση τεχνικών spearphishing και την ικανότητά τους να χρησιμοποιούν εντυπωσιακές μεθόδους προκειμένου να μη γίνουν αντιληπτές. Οι ερευνητές της ESET ονόμασαν τη συγκεκριμένη επιχείρηση In(ter)ception με βάση δείγμα σχετικού κακόβουλου λογισμικού που φέρει το όνομα “Inception.dll,”.
Οι επιθέσεις που μελέτησε η ομάδα επιστημόνων της ESET ξεκινούσαν με ένα απλό μήνυμα στο LinkedIn. “Το μήνυμα αφορούσε σε αρκετά αληθοφανή προσφορά εργασίας και φαινομενικά προερχόταν από γνωστή εταιρεία σε σχετικό τομέα. Φυσικά, το προφίλ στο LinkedIn ήταν ψεύτικο και τα αρχεία που στάλθηκαν ήταν κακόβουλα” σχολιάζει ο Dominik Breitenbacher, ο ερευνητής κακόβουλου λογισμικού της ESET που ανέλυσε το malware και ηγήθηκε της έρευνας.
Τα κακόβουλα αρχεία στάλθηκαν μέσω μηνυμάτων LinkedIn ή μέσω email που περιείχε σύνδεσμο στο OneDrive. Για τη δεύτερη περίπτωση, οι εισβολείς δημιούργησαν λογαριασμούς email που αντιστοιχούσαν στους ψεύτικους λογαριασμούς του LinkedIn.
Μόλις ο παραλήπτης άνοιγε το αρχείο, εμφανιζόταν ένα φαινομενικά αθώο έγγραφο PDF με πληροφορίες για τη μισθοδοσία που αφορούσε στην ψεύτικη προσφορά εργασίας. Εν τω μεταξύ, κακόβουλο λογισμικό είχε ήδη εγκατασταθεί σιωπηλά στον υπολογιστή του θύματος. Με αυτόν τον τρόπο, οι επιτιθέμενοι κατάφερναν να αποκτήσουν αρχική πρόσβαση και διαρκή παρουσία στο σύστημα του παραλήπτη.
Κάποια από τα εργαλεία που χρησιμοποίησαν οι κυβερνοεγκληματίες ήταν προσαρμοσμένο κακόβουλο λογισμικό πολλαπλού επιπέδου που συχνά εμφανιζόταν ως νόμιμο λογισμικό, καθώς και τροποποιημένες εκδόσεις εργαλείων ανοιχτού κώδικα. Επιπλέον, οι κυβερνοεγκληματίες αξιοποίησαν τεχνικές “living-off-the-land”, δηλαδή χρήση προ-εγκατεστημένων βοηθητικών εργαλείων των Windows για την εκτέλεση κακόβουλων λειτουργιών.
Εκτός από την κατασκοπεία, οι ερευνητές της ESET εντόπισαν στοιχεία που τεκμηριώνουν ότι οι εισβολείς προσπάθησαν να χρησιμοποιήσουν τους παραβιασμένους λογαριασμούς για να αποσπάσουν χρήματα από άλλες εταιρείες.
Η κακόβουλη επιχείρηση πραγματοποιήθηκε από το Σεπτέμβριο έως το Δεκέμβριο του 2019.
Το άρθρο περιλαμβάνει πληροφορίες από δελτίο Τύπου.
[social_share googleplus="no" linkedin="yes" whatsapp="no" viber="no"]
