Az új CMoon USB-féreg az oroszokat veszi célba
Egy új, CMoon nevű önterjesztő féreg képes ellopni a fiókok hitelesítő adatait és más adatokat, 2024. július eleje óta terjed Oroszországban egy kompromittált gázszolgáltató vállalat weboldalán keresztül. A kampányt felfedező Kaspersky kutatói szerint a CMoon számos funkciót képes ellátni, beleértve további payloadok betöltését, képernyőképek készítését és elosztott szolgáltatásmegtagadási (DDoS) támadások indítását. A kiberszereplők által használt terjesztési csatornából ítélve a célpontok köre inkább nagy értékű célpontokra, mint véletlenszerű internetezőkre összpontosít, ami kifinomult műveletre utal.
A Kaspersky szerint a fertőzési lánc akkor kezdődik, amikor a felhasználók egy orosz város számára gázszolgáltatásokat nyújtó vállalat weboldalának különböző oldalain található szabályozási dokumentumokra (docx, .xlsx, .rtf és .pdf) mutató linkekre kattintanak. A kiberszereplők a dokumentumokra mutató linkeket rosszindulatú futtatható fájlokra mutató linkekkel helyettesítették, amelyeket szintén a webhelyen tároltak, és az eredeti dokumentumot és a CMoon payloadot tartalmazó, az eredeti linkről elnevezett önkicsomagoló archívumként juttatták el az áldozatokhoz. A Kaspersky kutatói úgy vélik, hogy a támadás csak az adott webhely látogatóit célozza – jelenti a Kaspersky. Miután a gázszolgáltató céget értesítették a kompromittálódásról, a rosszindulatú fájlokat és linkeket 2024. július 25-én eltávolították a weboldaláról. A CMoon önterjesztő mechanizmusai miatt azonban a terjedése önállóan folytatódhat.
A CMoon egy .NET féreg, amely egy újonnan létrehozott mappába másolja magát, amelyet a kompromittált eszközön észlelt vírusirtó szoftverről neveztek el, vagy egy rendszer mappára hasonlító mappába. A féreg létrehoz egy parancsikont a Windows Startup könyvtárában, hogy a rendszer indításakor fusson, így biztosítva a fennmaradást az újraindítások között. Hogy a manuális felhasználói ellenőrzések során ne keltsen gyanút, a fájlok létrehozási és módosítási dátumát 2013. május 22-re módosítja.
