Τεχνική έγχυσης κώδικα PROPagate, η νέα μόδα στα λημέρια των κακοποιών.
Η εταιρεία ασφαλείας FireEye διαπίστωσε ότι κάποιοι επιτήδειοι προγραμματιστές έχουν αναπτύξει για πρώτη φορά μια νέα την τεχνική έγχυσης κώδικα που ονομάζεται PROPagate και διανέμεται μέσω οργανωμένης εκστρατείας από τους χάκερς ενσωματωμένο σε κακόβουλα προγράμματα.
Το PROPagate είναι σχετικά μια καινούργια τεχνική που ανακαλύφθηκε τον περασμένο Νοέμβριο. Τότε, ένας ερευνητής ασφαλείας διαπίστωσε ότι ένας εισβολέας θα μπορούσε να καταχραστεί το API SetWindowSubclass, μια λειτουργία του λειτουργικού συστήματος των Windows που διαχειρίζεται το GUI, για να φορτώσει και να εκτελέσει κακόβουλο κώδικα μέσα στις διαδικασίες των νόμιμων εφαρμογών.
Η ερευνητική ομάδα infosec θεώρησε την τεχνική ως ιδιαίτερα καινοτόμα, παρόμοια με τη δημιουργικότητα της τεχνικής που εφαρμόζεται στο AtomBombing, αν και τα δύο μεταξύ τους είναι εντελώς διαφορετικά.
Ωστόσο, σύμφωνα με τους ειδικούς, ενώ χρειάστηκαν τέσσερις μήνες για να εντοπιστεί το AtomBombing από τη στιγμή που χρησιμοποιήθηκε ενεργά σε εκστρατείες των κυβερνοεγκληματιών, το PROPagate αποδείχθηκε λίγο πιο δύσκολο να εντοπιστεί σε αυτές τις παράνομες πράξεις, καθώς η εκτιμάται ότι χρειάστηκε σχεδόν διπλάσιος χρόνος.
Το PROPagate βρέθηκε στην εκστρατεία χακαρίσματος RIG EK
Σε έκθεση που δημοσιεύθηκε πριν λίγες ημέρες, η FireEye, μια από τις κορυφαίες εταιρίες στον τομέα της ασφάλειας στον κυβερνοχώρο, ανακάλυψε μια ιδιαίτερα δυναμική εκστρατεία κακόβουλου λογισμικού που χρησιμοποιεί την τεχνική PROPagate για την έγχυση malware σε νόμιμες διαδικασίες.
Σύμφωνα με την FireEye, οι φορείς εκμετάλλευσης του RIG EK έχουν ξεκινήσει μια πρόσφατη καμπάνια που ανακατευθύνει την κυκλοφορία των επισκεπτών από νόμιμους ιστότοπους χρησιμοποιώντας ένα κρυφό iframe στην επόμενη σελίδα προορισμού.
Σε αυτή τη σελίδα, το RIG EK χρησιμοποιεί μία από τις τρεις τεχνικές – malicious JavaScript, Flash, ή Visual Basic script – ούτως ώστε να το κατεβάσει εν αγνοία το υποψήφιο θύμα και να εκτελεστεί αυτόματα ένα κακόβουλο πρόγραμμα εγκατάστασης NSIS.
Έπειτα ο εγκαταστάτης ενεργοποιεί έναν μηχανισμό τριών σταδίων ο οποίος ενσωματώνει την τεχνική PROPagate για να μολύνει τον χρήστη με το τελικό ωφέλιμο φορτίο – πού στην ουσία είναι ο μηχανισμός εξόρυξης κρυπτονομισμάτων Monero.
Σύμφωνα με την FireEye, ο εγκαταστάτης της NSIS αξιοποιεί την τεχνική έγχυσης κώδικα PROPagate στο explorer.exe, κρύβοντας τον κακόβουλο κώδικα σε μια καλοπροαίρετη διαδικασία.
