Void Arachne: Νέα κυβερνοαπειλή στοχεύει Κινέζους χρήστες
Ερευνητές της Trend Micro έχουν εντοπίσει μια νέα ομάδα κυβερνοαπειλών με την ονομασία Void Arachne, η οποία στοχεύει χρήστες που μιλούν κινέζικα.
Αυτή η συμμορία χρησιμοποιεί κακόβουλα αρχεία Windows Installer (MSI) για VPNs για να παραδώσει ένα σύστημα εντολών και ελέγχου (C&C) που ονομάζεται Winos 4.0. Η εκστρατεία περιλαμβάνει επίσης παραβιασμένα αρχεία MSI που περιέχουν ενσωματωμένα nudifiers και λογισμικό δημιουργίας πορνογραφικού υλικού, χρησιμοποιώντας deepfake για την αλλαγή της φωνής και του προσώπου.
Οι χάκερς χρησιμοποιούν επίσης τακτικές poisoning σε μηχανές αναζήτησης (SEO), στα social media και σε πλατφόρμες μηνυμάτων, με σκοπό τη διανομή κακόβουλου λογισμικού.
Εκτός των άλλων, προωθούν δημοφιλή λογισμικά, όπως Google Chrome, LetsVPN, QuickVPN και ένα πακέτο γλώσσας Telegram για τα απλά Κινέζικα, με σκοπό να διαδώσουν το Winos. Οι παραβιασμένες εγκαταστάσεις διαδίδονται μέσω κινέζικων καναλιών Telegram, χρησιμοποιώντας συνδέσμους που εμφανίζονται μέσω black hat τακτικών SEO για να οδηγούν σε συγκεκριμένη υποδομή η οποία έχει δημιουργηθεί από τον χάκερ.
Τα αρχεία MSI και ZIP που χρησιμοποιούνται στην εκστρατεία, τα οποία φιλοξενούνται σε πλατφόρμες μηνυμάτων, αποτελούν στόχο επιθέσεων. Αυτές οι επιθέσεις τροποποιούν τους κανόνες του τείχους προστασίας (firewall) και εγκαθιστούν ένα πρόγραμμα που αποκρυπτογραφεί και εκτελεί ένα δεύτερο στάδιο κακόβουλου λογισμικού. Αυτό το κακόβουλο φορτίο εκκινεί ένα Visual Basic Script (VBS) για να εξασφαλίσει τη μόνιμη παρουσία του και να εγκαταστήσει το C&C Winos 4.0, το οποίο επικοινωνεί με έναν απομακρυσμένο server.
Το Winos 4.0, γραμμένο σε C++, διαθέτει δυνατότητες διαχείρισης αρχείων, διεξαγωγής DDoS επιθέσεων, λήψης screenshot και πολλά ακόμη. Το plugin-based σύστημα, περιλαμβάνει 23 στοιχεία, και είναι διαθέσιμο σε 32- και 64-bit εκδόσεις, οιι οποίες μπορούν να ενισχυθούν με εξωτερικά plugins.
Εν κατακλείδι, η εκστρατεία που εφηύρε το “Void Arachne” εκμεταλλεύεται το αυξημένο δημόσιο ενδιαφέρον για τις υπηρεσίες VPN και το λογισμικό που παρακάμπτει το Great Firewall της Κίνας.
