Nowe zagrożenie: cyberprzestępcy wykorzystują fałszywe dokumenty podatkowe
Nowa kampania phishingowa z wykorzystaniem motywów podatkowych została zidentyfikowana jako zagrożenie, które dostarcza ukryte złośliwe oprogramowanie typu backdoor. Tym razem celem ataków padły systemy w Pakistanie. Eksperci ds. cyberbezpieczeństwa z firmy Securonix, którzy śledzą tę aktywność pod nazwą FLUX#CONSOLE, podejrzewają, że atak rozpoczyna się od spreparowanych wiadomości e-mail z linkami lub załącznikami, choć dokładny początek kampanii nie został jeszcze ustalony.
Jednym z najbardziej interesujących aspektów tej operacji jest wykorzystanie przez cyberprzestępców plików typu MSC (Microsoft Common Console Document), które pełnią podwójną rolę: działają zarówno jako loader (ładowarka), jak i dropper (dostarczyciel) dla dalszych złośliwych komponentów. Jak podkreślają badacze Den Iuzvyk i Tim Peck z Securonix, takie zastosowanie plików MSC to innowacyjny, ale niebezpieczny sposób na wprowadzanie złośliwego kodu do systemów.
Nowa metoda ataku: fałszywe pliki MSC
Złośliwe pliki MSC w kampanii phishingowej są skonstruowane w sposób, który wprowadza użytkowników w błąd. Przykładowo, plik maskuje się jako dokument PDF dzięki użyciu podwójnego rozszerzenia – na przykład „.pdf.msc”. Jeśli opcja wyświetlania rzeczywistych rozszerzeń plików w systemie Windows jest wyłączona, niczego nieświadoma ofiara może uruchomić plik, wierząc, że otwiera bezpieczny dokument PDF. Po otwarciu plik automatycznie wykonuje osadzony wewnątrz kod JavaScript poprzez konsolę zarządzania Microsoft Management Console (MMC).
Co więcej, ów kod JavaScript nie tylko wyświetla odpowiedni fałszywy dokument, ale także potajemnie ładuje złośliwy plik DLL o nazwie „DismCore.dll”. Jednym z przykładów wykorzystanego dokumentu jest „Tax Reductions, Rebates and Credits 2024”, który pozornie wygląda jak materiał związany z Pakistańskim Federalnym Biurem Podatkowym (FBR). Tego rodzaju dokumenty są na tyle wiarygodne, że wielu użytkowników daje się oszukać.
Zaawansowane techniki kamuflażu
Strategie stosowane w tej kampanii świadczą o wysokim poziomie zaawansowania technicznego cyberprzestępców. Oprócz osadzenia zaszyfrowanego ładunku w pliku MSC, zagrożenie obejmuje także kontakt z zewnętrznym plikiem HTML, który może wykonywać dodatkowy kod. Wszystkie te działania są tak zaprojektowane, aby pozostawać jak najdłużej niezauważonymi, a złośliwe oprogramowanie wykorzystuje zadania harmonogramu Windows w celu utrzymania swojej obecności w systemie.
Główną rolą tego złośliwego backdoora jest umożliwienie zdalnego dostępu do zainfekowanego urządzenia. Cyberprzestępcy są w ten sposób w stanie wysyłać polecenia do systemu, wykradać wrażliwe dane lub instalować inne rodzaje szkodliwego oprogramowania. Cieszy jednak fakt, że omawiana kampania została przerwana w ciągu 24 godzin po identyfikacji pierwszych infekcji.
Kto stoi za atakiem?
Choć nie udało się jeszcze jednoznacznie ustalić sprawcy, wcześniejsze działania grupy znanej jako Patchwork wskazują, że mogliby oni być potencjalnymi autorami tego zagrożenia. Patchwork już wcześniej używał podobnych dokumentów podatkowych związanych z pakistańskim FBR, co sugeruje pewne podobieństwa. Zespół Securonix zachowuje jednak ostrożność co do wskazywania winowajców, ponieważ dostępne dane wciąż nie są wystarczające, aby przypisać atak tej konkretnej grupie z pełnym przekonaniem.
„Choć phishingowe przynęty wyglądają podobnie, w przeszłości widzieliśmy już przypadki, gdy różni cyberprzestępcy wykorzystywali te same schematy, na przykład z dokumentami PDF lub obrazami” – zauważył Tim Peck, starszy badacz ds. zagrożeń. Jeżeli faktycznie to Patchwork stoi za obecnym atakiem, mogłoby to dostarczyć nowych informacji na temat ich taktyk i metod działania.
Zaawansowane zagrożenia wymagają nowych podejść
Cały łańcuch ataku, od wykorzystania silnie zaszyfrowanego kodu JavaScript po ukrywanie szkodliwego oprogramowania w plikach DLL, jasno pokazuje, jak wymagające może być dzisiejsze wykrywanie i analiza złośliwego oprogramowania. Cyberprzestępcy stale rozwijają swoje techniki, co komplikuje zadanie specjalistom ds. bezpieczeństwa.
Szczególnie interesującym elementem tej kampanii jest użycie plików MSC jako ewolucji popularnych w przeszłości złośliwych plików LNK. Oba te formaty plików pozwalają na uruchamianie kodu wykraczającego poza standardowe aplikacje użytkownika, jednocześnie wtapiając się w zwykłe procesy administracyjne Windows.
Obecna sytuacja stanowi kolejne przypomnienie o konieczności zachowania szczególnej ostrożności podczas otwierania nieznanych plików oraz regularnej edukacji użytkowników na temat potencjalnych zagrożeń. Eksperci radzą, aby zawsze włączać funkcję wyświetlania rozszerzeń plików w systemie i zachowywać szczególną czujność wobec niezidentyfikowanych załączników w poczcie e-mail.
