O nouă campanie malware țintește infractorii cibernetici neexperimentați cu configurații OpenBullet

A fost observată o nouă campanie malware care utilizează fișiere de configurare OpenBullet malițioase pentru a viza infractorii cibernetici neexperimentați cu scopul de a furniza un troian de acces de la distanță (RAT) capabil să fure informații sensibile.

Compania Kasada, specializată în atenuarea boturilor, a declarat că această activitate este concepută pentru a „exploata rețelele criminale de încredere”, descriind-o ca un exemplu de actori de amenințări avansate care „profită de hackerii începători”.

OpenBullet este un instrument legitim de tip pen-test cu sursă deschisă, utilizat pentru automatizarea atacurilor de detectare a credențialelor. Acesta preia un fișier de configurare adaptat la un anumit site web și îl poate combina cu o listă de parole procurate prin alte mijloace pentru a înregistra încercările reușite.

OpenBullet poate fi utilizat cu Puppeteer, care este un browser fără header care poate fi folosit pentru automatizarea interacțiunilor web„, a declarat compania. „Acest lucru facilitează foarte mult lansarea atacurilor de detectare a credențialelor fără a fi nevoie să se ocupe de ferestrele de browser care apar„.

Configurațiile, în esență o bucată de cod executabil pentru a genera solicitări HTTP împotriva site-ului web sau a aplicației web țintă, sunt, de asemenea, comercializate sau vândute în cadrul comunităților criminale, coborând ștacheta pentru activitatea infracțională și permițând script kiddies să își organizeze propriile atacuri.

Interesul pentru achiziționarea de configurații, de exemplu, ar putea indica faptul că utilizatorii OpenBullet sunt relativ puțin sofisticați„, a observat compania israeliană de securitate cibernetică Cybersixgill în septembrie 2021.

Dar ar putea fi, de asemenea, un alt exemplu al diviziunii extrem de eficiente a muncii de pe dark web. Adică, atacatorii nu anunță că vor să cumpere configurări pentru că nu știu cum să le scrie, ci pentru că este mai ușor și mai rapid.

Această flexibilitate poate fi, de asemenea, o sabie cu două tăișuri, deoarece deschide o nouă cale de atac, numai că vizează alți actori criminali care caută în mod activ astfel de fișiere de configurare pe forumurile de hacking.

Campania descoperită de Kasada folosește configurări malițioase partajate pe un canal Telegram pentru a ajunge la un depozit GitHub pentru a prelua un dropper bazat pe Rust numit Ocean, care este conceput pentru a prelua sarcina utilă din etapa următoare din același depozit.

Executabilul, un malware bazat pe Python denumit Patent, lansează în cele din urmă un troian de acces de la distanță care utilizează Telegram ca mecanism de comandă și control (C2) și execută instrucțiuni pentru a captura capturi de ecran, a lista conținutul directoarelor, a încheia sarcini, a exfiltra informații din portofelul criptografic și a fura parole și cookie-uri din browserele web bazate pe Chromium.

Printre browserele și portofelele criptografice vizate se numără Brave, Google Chrome, Microsoft Edge, Opera, Opera GX, Opera Crypto, Yandex Browser, Atomic, Dash Core, Electron Cash, Electrum, Electrum-LTC, Ethereum Wallet, Exodus, Jaxx Liberty, Litecoin Wallet și Mincoin.

Troianul funcționează, de asemenea, ca un clipper care monitorizează clipboard-ul pentru adrese de portofele de criptomonede și înlocuiește conținutul care se potrivește cu o expresie regulată predefinită cu o adresă controlată de actor, ceea ce duce la transferuri de fonduri neautorizate.

Două dintre adresele de portofel Bitcoin operate de adversar au primit în total 1 703,15 dolari în ultimele două luni, bani care au fost ulterior spălați cu ajutorul unui schimb anonim de cripto-monede cunoscut sub numele de Fixed Float.

Distribuirea configurațiilor OpenBullet malițioase în cadrul Telegram este un nou vector de infecție, care vizează probabil aceste comunități criminale datorită utilizării frecvente a criptomonedelor„, au declarat cercetătorii.

Acest lucru reprezintă o oportunitate pentru atacatori de a-și modela colectarea către un anumit grup țintă și de a obține fonduri, conturi sau acces ale altor membri. Așa cum spune vechea zicală, nu există onoare printre hoți.

Tradus și adaptat cu www.DeepL.com/Translator (free version)