Een nieuw Kaspersky-rapport onthult dat een doorlopende kwaadaardige "multi-malware" campagne meer dan 10.000 aanvallen heeft uitgevoerd gericht op wereldwijde organisaties. De campagne maakt gebruik van backdoors, keyloggers en miners. Met behulp van nieuwe kwaadaardige scripts die zijn ontworpen om beveiligingsfuncties uit te schakelen en het downloaden van malware te vergemakkelijken, is het doel financiële uitbuiting.
Nadat er een FBI-rapport was uitgekomen over de aanvallen, hebben Kaspersky-experts ontdekt dat deze nog steeds gaande is. De aanvallen omschreven in het FBI-rapport waren gericht op het infecteren van organisaties met miners om bedrijfsmiddelen te gebruiken voor mining, keyloggers om gegevens te stelen en backdoors om systeemtoegang te krijgen
Kaspersky's telemetrie laat zien dat van mei tot oktober meer dan 10.000 aanvallen ruim 200 gebruikers hebben getroffen. Deze aanvallen waren voornamelijk gericht op organisaties zoals overheidsinstellingen, landbouworganisaties en groot- en detailhandelbedrijven. Cybercriminelen richtten zich voornamelijk op slachtoffers in Rusland, Saoedi-Arabië, Vietnam, Brazilië en Roemenië, maar af en toe werden ook aanvallen vastgesteld in de VS, India, Marokko en Griekenland.
Kaspersky heeft ook nieuwe kwaadaardige scripts ontdekt die systemen lijken te infiltreren door misbruik te maken van kwetsbaarheden op servers en werkstations. Eenmaal binnen proberen de scripts Windows Defender te manipuleren, beheerdersrechten te verkrijgen en de functionaliteit van verschillende antivirusproducten te verstoren.
Hierna proberen de scripts een backdoor, keylogger en miner te downloaden van een inmiddels offline website. De miner gebruikt de systeembronnen om verschillende cryptocurrencies te genereren zoals Monero (XMR). Ondertussen registreert de keylogger de volledige reeks toetsaanslagen van de gebruiker op het toetsenbord en de muisknoppen, terwijl de backdoor communicatie tot stand brengt met een Command and Control (C2) server om gegevens te ontvangen en te verzenden. Hierdoor kan de aanvaller op afstand controle krijgen over het aangetaste systeem.
"Deze multi-malware campagne ontwikkelt zich snel met de introductie van nieuwe modificaties. De motivatie van de aanvallers lijkt geworteld te zijn in het nastreven van financieel gewin met alle mogelijke middelen. Ons onderzoek suggereert dat dit verder kan gaan dan het minen van cryptocurrency. Het kan gaan om activiteiten zoals het verkopen van gestolen inloggegevens op het dark web of het uitvoeren van geavanceerde scenario's met behulp van de mogelijkheden van de backdoor", zegt Vasily Kolesnikov, security-expert bij Kaspersky. “Onze producten, zoals Kaspersky Endpoint Security, kunnen dankzij hun uitgebreide beschermingsmogelijkheden de infectiepogingen detecteren, inclusief die met de nieuwe aanpassingen.”
De technische analyse van de campagne is beschikbaar op Securelist.com.
