Hacker greifen Finanzinstitute mit einem Python-Klon von Minesweeper an

Hacker verwenden einen Code aus einem Python-Klon von Minesweeper, um Finanz- und Versicherungsunternehmen aus den USA und Europa anzugreifen. Laut Bleeping Computer verfolgten das Computer Security Incident Response Team (CSIRT-NBU) und das Computer Emergency Response Team der Ukraine ( CERT-UA ) den Angriff und fanden UAC-0188 als dafür verantwortlich.

UAC-0188, auch bekannt als FromRussiaWithLove, ist ein russischer Hacktivist. Die Angreifer verwenden den Minesweeper-Code, um ihre Python-Skripte zu verbergen, die das SuperOps RMM installieren, ein Tool, mit dem sie Zugriff auf die betroffenen Systeme erhalten.

Wie verwenden Hacker den Minesweeper-Code?

Die Übeltäter tarnen sich als medizinisches Zentrum. Sie verwenden die E-Mail-Adresse [email protected] . Darüber hinaus lautet der Betreff der E-Mail „Persönliches Webarchiv für medizinische Dokumente“.

In der E-Mail finden die Empfänger einen Dropbox-Link, der zu einer 33 MB großen SCR-Datei führt, die den Code des Python-Klons von Minesweeper und einen bösartigen Code enthält, der zusätzliche Malware von anotepad.com herunterlädt.

Der Python-Klon von Minesweeper dient als Täuschungsmanöver für den echten 28 MB großen base64-codierten String, der den Schadcode enthält. Außerdem decodiert und führt die im Code enthaltene Funktion create_license_ver die Malware aus. Dieser Prozess verbirgt den Schadcode vor Sicherheitssystemen.

Wenn die Funktion mit der Dekodierung fertig ist, wird eine ZIP-Datei mit dem SuperOps RMM angezeigt. Anschließend wird sie extrahiert und mit einem statischen Passwort ausgeführt.

Cybersicherheitsexperten empfehlen, vorsichtig zu sein, wenn Sie SuperOPS RMM-Aktivitäten auf Ihrem Gerät bemerken, insbesondere wenn Ihre Organisation es nicht verwendet. Achten Sie auch auf Aufrufe der folgenden Domänen: superops.com und superops.ai. Verwenden Sie außerdem ein aktuelles Antivirengerät, sichern Sie wichtige Daten und ändern Sie Ihre Passwörter regelmäßig.

Letztendlich ist die Minesweeper-Malware eine ernste Bedrohung, die Sie nicht auf die leichte Schulter nehmen sollten. CERT-UA hat fünf ähnliche Dateien entdeckt, die in den USA und der EU verschickt wurden. Seien Sie also vorsichtig, insbesondere wenn Sie ein Finanzunternehmen leiten.