ForceCopy Stealer: The Sneaky Threat Targeting Data Browser Web
Table of Contents
Ένα νέο εργαλείο στο Arsenal ενός Notorious Hacking Group
Οι ειδικοί στον τομέα της κυβερνοασφάλειας έχουν αποκαλύψει μια εξελιγμένη απειλή στον κυβερνοχώρο, γνωστή ως forceCopy Stealer, ένα εργαλείο συλλογής πληροφοριών που αναπτύσσεται σε στοχευμένες επιθέσεις. Αυτός ο κλέφτης συνδέεται με την Kimsuky , μια καλά τεκμηριωμένη ομάδα hacking που πιστεύεται ότι συνδέεται με τις υπηρεσίες πληροφοριών της Βόρειας Κορέας. Πρόσφατες αναφορές δείχνουν ότι η Kimsuky αξιοποιεί τεχνικές phishing για τη διανομή του forceCopy Stealer, εστιάζοντας στην απόκτηση ευαίσθητων δεδομένων χρήστη που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού.
Πώς οι επιτιθέμενοι αναπτύσσουν το forceCopy Stealer
Η μέθοδος παράδοσης για το ForceCopy Stealer περιστρέφεται γύρω από παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου που έχουν δημιουργηθεί για να φαίνονται νόμιμα. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου συνήθως περιλαμβάνουν ένα συνημμένο που μεταμφιέζεται σε έγγραφο του Microsoft Office ή PDF, το οποίο στην πραγματικότητα είναι ένα αρχείο συντόμευσης των Windows (LNK). Μόλις ο παραλήπτης ανοίξει το αρχείο, ενεργοποιεί κακόβουλα σενάρια μέσω του PowerShell ή του mshta.exe της Microsoft—και τα δύο είναι νόμιμα εργαλεία συστήματος που συχνά εκμεταλλεύονται για μη εξουσιοδοτημένους σκοπούς.
Μετά την εκτέλεση αυτών των σεναρίων, επιπρόσθετα ωφέλιμα φορτία ανακτώνται από μια εξωτερική πηγή. Οι εισβολείς στη συνέχεια αναπτύσσουν άλλα εργαλεία παράλληλα με το forceCopy Stealer, συμπεριλαμβανομένου ενός πολύ γνωστού trojan που ονομάζεται PEBBLEDASH και μιας τροποποιημένης έκδοσης ενός βοηθητικού προγράμματος Remote Desktop ανοιχτού κώδικα που ονομάζεται RDP Wrapper. Αυτά τα στοιχεία λειτουργούν σε συνδυασμό για τη δημιουργία μακροπρόθεσμης πρόσβασης σε παραβιασμένα συστήματα.
Η βασική λειτουργία του forceCopy Stealer
Στον πυρήνα του, το forceCopy Stealer έχει σχεδιαστεί για να εξάγει δεδομένα από συγκεκριμένες τοποθεσίες που σχετίζονται με προγράμματα περιήγησης ιστού. Ο κύριος στόχος φαίνεται να είναι τα αρχεία διαμόρφωσης του προγράμματος περιήγησης, τα οποία ενδέχεται να περιέχουν αποθηκευμένα διαπιστευτήρια σύνδεσης. Εστιάζοντας σε αυτούς τους καταλόγους, το εργαλείο παρακάμπτει ορισμένους περιορισμούς ασφαλείας που προστατεύουν από τις συμβατικές τεχνικές κλοπής διαπιστευτηρίων. Δεδομένου ότι τα προγράμματα περιήγησης Ιστού αποθηκεύουν συχνά κωδικούς πρόσβασης και άλλες ευαίσθητες πληροφορίες για διευκόλυνση του χρήστη, ένας εισβολέας με πρόσβαση σε αυτά τα αρχεία θα μπορούσε ενδεχομένως να ανακτήσει τα στοιχεία σύνδεσης για διάφορες διαδικτυακές υπηρεσίες.
Συνέπειες των Δραστηριοτήτων του ForceCopy Stealer
Η ανάπτυξη του forceCopy Stealer εγείρει ανησυχίες σχετικά με τις ευρύτερες συνέπειες για την ασφάλεια στον κυβερνοχώρο. Τα κλεμμένα δεδομένα του προγράμματος περιήγησης θα μπορούσαν να χρησιμοποιηθούν με διάφορους τρόπους, συμπεριλαμβανομένης της μη εξουσιοδοτημένης πρόσβασης σε λογαριασμούς, της απάτης ταυτότητας ή περαιτέρω στοχευμένων επιθέσεων. Επιπλέον, δεδομένου ότι ο κλέφτης χρησιμοποιείται μαζί με άλλα κακόβουλα εργαλεία, όπως keylogger και συστήματα επικοινωνίας που βασίζονται σε διακομιστή μεσολάβησης, τα επηρεαζόμενα άτομα ή οργανισμοί ενδέχεται να αντιμετωπίσουν μακροπρόθεσμους κινδύνους ασφαλείας.
Μια αξιοσημείωτη αλλαγή στις τακτικές του Kimsuky είναι η χρήση εργαλείων όπως το RDP Wrapper και το κακόβουλο λογισμικό διακομιστή μεσολάβησης, που επιτρέπουν στους εισβολείς να διατηρούν επίμονη πρόσβαση σε παραβιασμένα μηχανήματα. Αυτό αντιπροσωπεύει μια εξέλιξη στις μεθόδους τους, απομάκρυνση από τις κερκόπορτες που χρησιμοποιήθηκαν προηγουμένως προς όφελος μιας πιο αρθρωτής και προσαρμοστικής προσέγγισης.
Μια επίμονη και εξελισσόμενη απειλή
Ο Kimsuky, επίσης γνωστός με ψευδώνυμα όπως το APT43 και το Emerald Sleet, είναι ενεργός για πάνω από μια δεκαετία. Χρησιμοποιούν συχνά τακτικές κοινωνικής μηχανικής για να παρακάμψουν τα μέτρα ασφαλείας. Η ικανότητά τους να προσαρμόζουν εκστρατείες ηλεκτρονικού ψαρέματος και να εκμεταλλεύονται νόμιμα εργαλεία για κακόβουλους σκοπούς τους έχει καταστήσει μια επίμονη απειλή στο τοπίο της κυβερνοασφάλειας.
Πρόσφατα ευρήματα δείχνουν ότι η ομάδα συνεχίζει να βελτιώνει τις μεθόδους της, με το forceCopy Stealer να είναι η τελευταία προσθήκη στο οπλοστάσιό της. Η έμφαση στην κλοπή δεδομένων του προγράμματος περιήγησης υπογραμμίζει το συνεχές ενδιαφέρον για τα διαπιστευτήρια, ενδεχομένως για κατασκοπεία ή οικονομικό όφελος. Αυτή η εξέλιξη υπογραμμίζει την ανάγκη για τους χρήστες να παραμείνουν σε επαγρύπνηση έναντι απόπειρες phishing και μη εξουσιοδοτημένης πρόσβασης σε δεδομένα.
Ενίσχυση της άμυνας κατά της κλοπής δεδομένων του προγράμματος περιήγησης
Δεδομένης της αυξανόμενης χρήσης αποθήκευσης διαπιστευτηρίων που βασίζεται σε πρόγραμμα περιήγησης, είναι σημαντικό να εφαρμόζονται προστατευτικά μέτρα έναντι απειλών όπως το forceCopy Stealer. Οι χρήστες θα πρέπει να είναι προσεκτικοί όταν χειρίζονται συνημμένα email, ειδικά αυτά που προέρχονται από άγνωστες πηγές. Οι οργανισμοί θα πρέπει να ενισχύουν τα πρωτόκολλα ασφαλείας email και να παρακολουθούν για ύποπτες δραστηριότητες που μπορεί να υποδηλώνουν μη εξουσιοδοτημένες προσπάθειες απομακρυσμένης πρόσβασης.
Κατανοώντας πώς λειτουργεί το forceCopy Stealer και τις τακτικές που χρησιμοποιούν ομάδες όπως η Kimsuky, ο καθένας μπορεί να λάβει προληπτικά μέτρα για να προστατεύσει τα ψηφιακά του στοιχεία και να μειώσει τον κίνδυνο τέτοιων κυβερνοαπειλών.
