Alchimist – нов риск за вашия компютър

„Алхимикът“ е роман на Паулу Коелю – любимият автор на манекенките от преди двадесетина години. Днес обаче названието е прегърнато от злонамерени хакери и не предизвиква никакви приятни емоции.

 

Новата рамка на Alchimist C2 е насочена към Windows, Linux, macOS.

Експертите по Cisco Talos се натъкнаха на нова атака и C2 рамка, известна като Alchimist, която е в състояние да компрометира macOS, Windows и Linux.

Освен това специалистите забелязаха нов злонамерен софтуер, наречен Insekt – имплант на Alchimist – с функции за дистанционно администриране. И двата бинарни файла са внедрени в Golang.

Навлизане в детайлите

 

• Alchimist е лесна за използване рамка, която позволява на своите оператори да генерират и конфигурират операции, които могат да правят скрийншотове от разстояние, да извършват дистанционно изпълнение на shellcode и да изпълняват произволни команди.

• Той поддържа персонализиран механизъм за заразяване и доставка на Insekt RAT в атакуваните устройства.

• Докато сървърите на Alchimist C2 доставят команди за изпълнение, Insekt ги изпълнява на заразени устройства.

• В допълнение към това, RAT може да служи като прокси, да извършва сканиране на портове и IP, да манипулира SSH ключове и да изпълнява shellcode.

Защо това е важно?

Рамката Alchimist дава възможност на по-слабо усъвършенствали се злонамерени играчи възможността да стартират свои собствени атаки. Освен това, тези видове рамки са с високо качество – те са многофункционални и притежават добри възможности да избегнат лесно разкриване. Те са ефективни и имат функцията да доставят импланти.

Дори напредналите киберпрестъпници могат да използват Alchimist, за да минимизират своите оперативни разходи или да се координират с произволен злонамерен трафик, за да се спасят от разкриване.

Понижаване на входната бариера

• Наскоро беше въведена нова платформа PhaaS, наречена Caffeine, която включва свободна регистрация. Това означава, че всеки, включително начинаещи, могат да започнат да организират сложни фишинг кампании.

• Миналия месец изследователите откриха друга платформа PhaaS, наречена EvilProxy, която позволява на хакерите да заобикалят MFA(Multi-factor Authentication). Услугата се предлага на база абонамент и може да компрометира клиентски акаунти на Facebook, Apple, Google и GitHub, наред с други.

Откритието на Alchimist демонстрира колко бързо злонамерените играчи се възползват от готови C2 рамки, за да извършват своите операции. След като получат привилегирован достъп до системите на своите жертви, те могат да окажат значително въздействие върху техните операции.