Novi malver koristi Discord i lažne PDF-ove za napade

Bezbednosna firma eSentire otkrila je ChaosBot, malver napisan u programskom jeziku Rust, koji omogućava napadačima daljinsko izvršavanje komandi, krađu fajlova i pravljenje snimaka ekrana na kompromitovanim mašinama. Napadi su otkriveni u okviru incidenta u finansijskom sektoru.

Napadači koriste kompromitovane kredencijale (VPN i Active Directory naloge) i razne tehnike za instalaciju malvera, najčešće preko fišing mejlova koji sadrže zlonamerni .LNK fajl. Nakon aktivacije, korisniku se često prikazuje lažni PDF kao smetnja dok malver preuzima kontrolu nad sistemom.

Jedna od neobičnih osobina ChaosBot-a je upotreba Discorda za komunikaciju: kompromitovani nalozi i kanali služe kao komandno-kontrolna infrastruktura, što otežava otkrivanje. Takođe su primećene varijante koje pokušavaju da izbegnu detekciju i da otkriju da li rade unutar virtuelne mašine.

• Otkriven novi Android virus koji cilja starije korisnike
• Čuvajte se Klopatre: Zaraženo već 3.000 telefona u Evropi
• Gledate pornografiju? Vodite računa o ovome

Bezbednosni timovi takođe su upozorili na srodnu C++ varijantu (nazvanu Chaos-C++) koja sadrži destruktivne funkcije i pokušaje preusmeravanja kripto-transfera. Stručnjaci ističu da je reč o sve sofisticiranijim, finansijski motivisanim kampanjama.

Korisnicima se preporučuje da prekontrolišu pristupne naloge i privilegije, pojačaju AD i VPN zaštitu, blokiraju sumnjive Discord naloge i kanale u poslovnoj mreži, izbegavaju otvaranje nepoznatih .LNK fajlova i redovno ažuriraju softver i segmentaciju mreže.