Obfuszkációs játék

Editors' Pick

A Datadog Security Labs jelentése szerint egy MUT-9332 nevű fenyegetési szereplő három rosszindulatú Visual Studio Code (VS Code) bővítményt használt ki, amelyek kifejezetten a Solidity fejlesztőket célozták meg Windows rendszereken. Ezek a bővítmények – solaibot, among-eth és blankebesxstnion – legitim eszközöknek álcázták magukat, például szintaxis-ellenőrzést és sebezhetőségi detekciót ígérve, de valójában többfázisú fertőzési láncot indítottak el, amely végül hitelesítő adatokat és kriptotárca információkat lopott el az áldozatoktól.

A támadás során a bővítmények obfuszkált JavaScript kódot futtattak, amely kapcsolatba lépett a solidity[.]botvezérlőszerverrel, és PowerShell szkripteken keresztül további rosszindulatú komponenseket töltött le. Ezek között szerepelt egy extension.zip nevű böngészőbővítmény, amely Chromium-alapú böngészők indítóikonjait módosította, valamint egy myau.exe nevű végrehajtható fájl, amely kriptotárca hitelesítő adatokat keresett, billentyűleütéseket rögzített, és a Windows rendszerfájlokat manipulálta a biztonsági szoftverek elkerülése érdekében.

A myau.exe által letöltött következő komponens, a myaunet.exe, elsősorban hitelesítő adatokat és információkat lopott el, beleértve a Discord, Chromium-alapú böngészők, kriptotárcák és Electron alkalmazások LevelDB fájljait. A malware módosította a Windows hosts fájlt, hogy blokkolja az antivírus gyártók, sandbox környezetek és fenyegetésfelderítő szolgáltatókhoz való kapcsolódást, valamint tűzfal szabályokat hozott létre a Microsoft frissítési és telemetriai infrastruktúrájához való kimenő kapcsolatok blokkolására.

A támadók a fertőzés végén a Quasar RAT-ot telepítették, amely lehetővé tette számukra a további hozzáférést és irányítást az áldozatok rendszerei felett. Bár a rosszindulatú bővítményeket kevesebb mint 50 alkalommal töltötték le, és azóta eltávolították őket a VS Code Marketplace-ről, a kampány továbbra is aktív, és a támadók folyamatosan módosítják a köztes payloadokat, jelezve, hogy a fenyegetés továbbra is fennáll.

A fejlesztőknek javasolt, hogy csak megbízható, ellenőrzött kiadóktól származó bővítményeket telepítsenek, figyeljenek a felhasználói értékelésekre, és rendszeresen ellenőrizzék rendszereiket gyanús tevékenységek után.

FORRÁS