Κακόβουλα πακέτα NuGet που εμφανίζονται να έχουν πάνω από 2 εκατομμύρια λήψεις υποδύονται τα πορτοφόλια κρυπτογράφησης, το ανταλλακτήριο κρυπτογράφησης και τις βιβλιοθήκες Discord για να μολύνουν τους προγραμματιστές με το trojan απομακρυσμένης πρόσβασης SeroXen.
Το NuGet είναι ένα σύστημα διαχείρισης πακέτων ανοικτού κώδικα και διανομής λογισμικού που λειτουργεί διακομιστές φιλοξενίας πακέτων για να μπορούν οι χρήστες να τα κατεβάζουν και να τα χρησιμοποιούν για τα αναπτυξιακά τους έργα.
Τα κακόβουλα πακέτα που ανέβηκαν στο NuGet από έναν χρήστη με το όνομα “Disti” ανακαλύφθηκαν από τους ερευνητές της Phylum, οι οποίοι δημοσίευσαν σήμερα μια έκθεση για να προειδοποιήσουν για την απειλή.
Και τα έξι πακέτα στο αποθετήριο του Disti περιέχουν το ίδιο αρχείο XML που κατεβάζει το “x.bin”, ένα συγκεκαλυμμένο αρχείο δέσμης των Windows που εκτελεί κακόβουλες δραστηριότητες στο σύστημα που έχει παραβιαστεί.
Τα πακέτα μιμούνται δημοφιλή έργα, ανταλλαγές και πλατφόρμες κρυπτονομισμάτων, εμφανίζοντας ακόμη και τα επίσημα λογότυπα για να ξεγελάσουν τους χρήστες.
Τα έξι πακέτα που ανέβασε ο Disti στο NuGet, και τα οποία είναι ακόμη διαθέσιμα τη στιγμή που γράφεται αυτή η αναφορά, είναι τα εξής:
Kraken.Exchange – 635k downloads
KucoinExchange.Net – 635k downloads
SolanaWallet – 600k downloads
Modern.Winform.UI – 100k downloads
Monero – 100k downloads
DiscordsRpc – 75k downloads
Οι αριθμοί λήψης θεωρούνται υπερβολικοί και ενδέχεται να μην είναι αντιπροσωπευτικοί της εμβέλειας αυτών των πακέτων στην κοινότητα NuGet.
Παρόλα αυτά, αυτοί οι αριθμοί λήψεων ενισχύουν αποτελεσματικά την αντιληπτή αξιοπιστία των πακέτων, κάνοντάς τα να φαίνονται σαν γνήσιες εκδόσεις των εφαρμογών ή των πλατφορμών που υπονοούνται από τα ονόματά τους.
Ο Disti μπορεί να διόγκωσε τα στοιχεία λήψης χρησιμοποιώντας αυτοματοποιημένα σενάρια, botnets, εικονικές μηχανές ή cloud containers που κατεβάζουν ένα πακέτο πολλές φορές.
Τα πακέτα ενσωματώνουν δύο σενάρια PowerShell που εκτελούν αρχεία CMD και Batch κατά την εγκατάσταση στον υπολογιστή του θύματος.
Η δέσμη ενεργειών κατεβάζει ένα αρχείο από μια εξωτερική διεύθυνση URL, το αποθηκεύει ως “.cmd” σε έναν προσωρινό κατάλογο και το εκτελεί χωρίς να εμφανίζει τίποτα στην οθόνη.
Αυτή η δέσμη ενεργειών ανακτά ένα άλλο αρχείο με όνομα “x.bin”, το οποίο, παρά το όνομά του, είναι μια συγκεκαλυμμένη δέσμη ενεργειών με πάνω από 12.000 γραμμές και σκοπός της είναι να κατασκευάσει και να εκτελέσει μια ακόμη δέσμη ενεργειών PowerShell.
Τελικά, αυτή η τελική δέσμη ενεργειών διαβάζει τμήματα από το αρχείο cmd για να αποκρυπτογραφήσει και να αποσυμπιέσει ένα κωδικοποιημένο ωφέλιμο φορτίο από το εσωτερικό του, το οποίο σύμφωνα με την Phylum είναι το SeroXen RAT.
Αυτό το πλούσιο σε χαρακτηριστικά trojan απομακρυσμένης πρόσβασης διατίθεται στην αγορά ως νόμιμο πρόγραμμα και πωλείται για $15/μήνα ή για μια εφάπαξ “ισόβια” αγορά των $60.
Τον Μάιο, η AT&T ανέφερε ότι το SeroXen RAT κερδίζει ολοένα και μεγαλύτερη δημοτικότητα μεταξύ των κυβερνοεγκληματιών που εκτιμούν τα χαμηλά ποσοστά εντοπισμού και τις ισχυρές δυνατότητές του.
DezFake V4 | στείλετε ένα μήνυμα email από οποιοδήποτε email που σας αρέσει
Με αυτό το εργαλείο μπορείτε να στείλετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου από οποιαδήποτε διεύθυνση ηλεκτρονικού ταχυδρομείου που σας αρέσει χωρίς να συνδεθείτε!
ΧΑΡΑΚΤΗΡΙΣΤΙΚΆ : HTML Supported [✓] Private Anonymous Server [✓] Bypass Spam Filters [✓]
Παραβίαση Δεδομένων στην Americold: Χιλιάδες Εργαζόμενοι Επηρεάζονται
Η Americold, ο γίγαντας αποθήκευσης και παροχής πάγου, επιβεβαίωσε ότι περισσότεροι από 129.000 υπάλληλοι και οι συγγενείς τους υπέστησαν παραβίαση των προσωπικών τους δεδομένων κατά τη διάρκεια μιας επίθεσης τον Απρίλιο. Η επίθεση αποδίδεται σε κακόβουλο λογισμικό Cactus ransomware.
Η Americold, που απασχολεί 17.000 άτομα παγκοσμίως και διαχειρίζεται περισσότερες από 24 αποθήκες με ελεγχόμενη θερμοκρασία σε όλη τη Βόρεια Αμερική, την Ευρώπη, την Ασία-Ειρηνικό και τη Νότια Αμερική, έπρεπε να αντιμετωπίσει τις συνέπειες της παραβίασης του δικτύου της.
Η επίθεση οδήγησε σε διακοπή που επηρέασε τις λειτουργίες της εταιρείας, αναγκάζοντάς τη να κλείσει το IT δίκτυό της προκειμένου να περιορίσει την παραβίαση και να ανακτήσει τα επηρεαζόμενα συστήματα.
Γιατί η αγορά ενός crypter μπορεί να αποβεί άχρηστη ?
Οι Crypter(όπως όλοι νομίζω ξέρουμε), έχουν σκοπό να εισάγουν το payload μας, μέσα σε ένα “καθαρό” stub, και την ώρα που κάποιος τρέξει αυτό το stub… το μαζί με το stub να ανοίξει και το payload μας… στη μνήμη(αυτός είναι ένας runtime crypter). Μέχρι στιγμής είναι ο ποιο αποτελεσματικός τρόπος εισαγωγής ενός payload σε σύστημα/συστήματα. Το πρόβλημα όμως, είναι ότι η αγορά ενός crypter… μεν μας απαλλάσσει από τα… ενοχλητικά antivirus… όμως τελικά, δεν μας βοηθάει και πάρα πολύ. Έναν από τους λόγους, θα τον αναλύσω παρακάτω !!
Χρήσιμο λεξιλόγιο:
Shared stub: Μετάφραση: Κοινόχρηστο stub.
Burned stub: Μετάφραση: Stub το οποίο δεν είναι πλέον FUD.
Το 98-99% των crypters επί πληρωμή, χρησιμοποιούν shared stub. Αυτό σημαίνει ότι το stub(που μεν είναι FUD), το χρησιμοποιούν και όλοι οι άλλοι πελάτες αυτού του crypter. Αυτό σημαίνει ότι γίνετε πάρα πολύ εύκολα burned. Θα μου πείτε όμως: “Και? Ο προγραμματιστής που το έφτιαξε θα το ξανά κάνει FUD”. Κι εγώ θα σας απαντήσω.. ότι ναι.. πολύ σωστά, ο προγραμματιστής θα το κάνει ξανά FUD. Ας φανταστούμε ένα φανταστικό σενάριο όμως:
1) Είμαι κάτοχος ενός φανταστικού crypter.(Ας τον ονομάσουμε Crypter FFF)
2). Κάνω FUD έναν RAT client, με το FUD stub που μου παρέχει το Crypter FFF.
3) Παίρνω(το πλέον FUD) payload μου, και το κάνω spread εκεί που θέλω… ώστε να μπορώ να έχω “slaves”.
4) Το stub με το οποίο έκανα FUD το payload μου, γίνετε burned.
Μαντεύεται τι γίνετε παρακάτω ? ΑΚΡΙΒΩΣ !!! Όσους υπολογιστές(η τουλάχιστον τους περισσότερους που) μόλυνα και είχαν ένα καλό antivirus.. θα τους χάσω από slave οριστικά… και για να τους έχω slave ξανά, θα πρέπει να τους ξανά μολύνω. Αυτό καθιστά την χρήση κάθε crypter επί πληρωμή, που σας δίνει shared stubs εντελώς άχρηστη!!
Πάμε όμως στο πως θα το λύσουμε αυτό το “πρόβλημα”. Έχετε τις εξής λύσεις διαθέσιμες:
1) Φροντίζεται να αγοράσετε crypter, όπου ο προγραμματιστής του σας δίνει ένα unique stub. Δηλαδή stub μόνο για εσάς, και δεν είναι κοινόχρηστο.
2) Αγοράζετε unique stubs(οι τιμές είναι λίγο τσιμπημένες) από τον προγραμματιστή του crypter σας, και προσέχετε πως τα χρησιμοποιείτε.
3. Μαθαίνετε προγραμματισμό, και φτιάχνεται δικό σας crypter.
Δυστυχώς η ευτυχώς, αυτές είναι μοναδικές λύσεις που ένας χρήστης που θέλει να έχει στην κατοχή του έναν κάπως καλό, λειτουργικό crypter έχει διαθέσιμες.
