Poslovni direktori i IT administratori postali su meta visoko sofisticiranog phishing napada koji se ne događa u sandučiću elektroničke pošte, već na popularnoj poslovnoj društvenoj mreži LinkedIn. Sigurnosni istraživači iz tvrtke ReliaQuest otkrili su novi napad koji kombinira legitimne Python projekte za penetracijsko testiranje, tehniku poznatu kao “DLL sideloading” i lažne oglase za posao, a sve s ciljem inficiranja “visokovrijednih meta” trojancima za daljinski pristup (RAT).
Prema izvješću tvrtke ReliaQuest, žrtve se pažljivo biraju, nakon čega im se napadači javljaju s pozivom na poslovni projekt ili ponudom za posao. Poruka na LinkedInu sadrži poveznicu za preuzimanje koja, ako se na nju klikne, skida WinRAR samoraspakirajuću arhivu (SFX). Naziv datoteke obično je prilagođen ulozi žrtve, poput plana razvoja proizvoda ili projektnog plana, kako bi sve djelovalo što vjerodostojnije, prenosi portal Techradar.
Kada žrtva otvori preuzetu arhivu, ona automatski raspakira nekoliko datoteka u istu mapu, čineći cijeli paket naizgled legitimnim. Korisnik zatim pokreće PDF čitač koji je uključen u arhivu, vjerujući da otvara uobičajeni dokument. Međutim, taj lažni čitač dokumenata potom učitava zlonamjerni DLL koji se također nalazio u arhivi. Ova metoda, poznata kao “DLL sideloading”, omogućuje izvršavanje koda napadača bez podizanja neposrednih sigurnosnih upozorenja na računalu.
Jednom aktiviran, zlonamjerni DLL dodaje “Run” ključ u Windows registar kako bi osigurao postojanost na sustavu, odnosno kako bi se pokretao pri svakom novom paljenju računala. Nakon toga pokreće prijenosni Python interpreter, koji se također nalazio u arhivi, a taj alat potom izravno u memoriji izvršava Base64 kodirani hakerski alat otvorenog koda. U konačnici, zlonamjerni softver započinje komunikaciju sa zapovjedno-kontrolnim poslužiteljem, što je standardno ponašanje za trojance koji omogućuju daljinski pristup zaraženom uređaju.
“Ova kampanja služi kao podsjetnik da phishing nije ograničen samo na sandučiće elektroničke pošte. Phishing napadi odvijaju se putem alternativnih kanala poput društvenih medija, tražilica i aplikacija za razmjenu poruka, platformi koje mnoge organizacije još uvijek zanemaruju u svojim sigurnosnim strategijama”, poručili su iz tvrtke ReliaQuest. Napadači su svjesni da im društvene mreže, pogotovo one kojima se često pristupa s korporativnih uređaja, pružaju izravan pristup visokovrijednim metama.
Stručnjaci za kibernetičku sigurnost ističu kako su upravo direktori i IT administratori iznimno vrijedne mete za kibernetičke kriminalce. Kompromitiranjem njihovih računa napadači mogu doći do osjetljivih poslovnih podataka, pristupiti internim mrežama tvrtke ili pokrenuti daljnje, još razornije napade. Zbog toga se savjetuje izniman oprez prilikom otvaranja poveznica i preuzimanja datoteka s nepoznatih ili neočekivanih izvora, čak i kada se komunikacija odvija na naizgled sigurnim platformama poput LinkedIna.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu