Un nou atac cibernetic sofisticat a fost descoperit de cercetătorii de la Cyble Research and Intelligence Labs, care au identificat utilizarea Visual Studio Code ca instrument de acces de la distanță. Hackerii folosesc un fișier malițios .LNK care descarcă un pachet Python, creând o posibilitate de acces neautorizat la sistemele victimelor.
TL;DR
- Visual Studio Code a fost exploatat ca instrument de acces de la distanță
- Un fișier
.LNKmalițios este trimis prin emailuri spam - Fișierul descarcă și execută un script Python pentru a obține informații despre sistem
- Informațiile sunt exfiltrate la un server de comandă și control
- Atacatorii pot manipula fișierele și configurațiile sistemului
Transformarea Visual Studio Code într-un instrument de acces de la distanță
Visual Studio, dezvoltat de Microsoft, este un mediu de dezvoltare integrat folosit preponderent pentru dezvoltarea aplicațiilor pe platforma .NET. Cyble Research and Intelligence Labs au descoperit că hackerii folosesc VSCode ca un instrument de acces la distanță, prin distribuirea unui fișier .LNK malițios.
Metodologia atacului
Cercetătorii au observat că atacul începe cu un fișier operațional .LNK malițios. Acest fișier, odată deschis, descarcă un pachet Python și creează un director dedicat, de unde execută un script Python obfuscat. Acest script instalează un task programat care rulează cu privilegii de sistem.
Colectarea și exfiltrarea informațiilor
Scriptul culege informații de la diferite directoare critice, cum ar fi C:\Program Files și C:\Users, și le trimite către un server de comandă și control. S-au observat similitudini cu tacticile utilizate de grupul APT chinez Stately Taurus.
Recomandări de securitate
Pentru a se apăra de astfel de atacuri, companiile și utilizatorii sunt sfătuiți să folosească protecția avansată a punctelor terminale, să verifice regulat sarcinile programate, să instruiască utilizatorii privind recunoașterea fișierelor și link-urilor suspicioase, și să limiteze instalarea software-ului neautorizat. Monitorizarea activităților neobișnuite poate preveni atacurile.
Sursa articolului:
https://cybersecuritynews.com/hackers-visual-studio-code-remote-access/
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
