Hackers gebruiken een Python-kloon van Minesweeper om financiële instellingen aan te vallen

Hackers gebruiken een code van een Python-kloon van Minesweeper om financiële en verzekeringsorganisaties uit de Verenigde Staten en Europa aan te vallen. Volgens Bleeping Computer hebben het Computer Security Incident Response Team (CSIRT-NBU) en het Computer Emergency Response Team van Oekraïne ( CERT-UA ) de aanval gevolgd en vonden UAC-0188 verantwoordelijk.

De UAC-0188, ook wel bekend als FromRuslandWithLove, is een Russische hacktivist. De aanvallers gebruiken de Minesweeper-code om hun Python-scripts te verbergen die de SuperOps RMM installeren, een tool waarmee ze toegang kunnen krijgen tot de getroffen systemen.

Hoe gebruiken hackers de Mijnenveger-code?

De overtreders vermommen zich als een medisch centrum. Ze gebruiken de [email protected] e-mail. Daarnaast is het onderwerp van de mail Persoonlijk Webarchief Medische Documenten.

In de e-mail kunnen ontvangers een Dropbox-link vinden, die leidt naar een bestand van 33 MB. SCR-bestand dat de code bevat van de Python-kloon van Minesweeper en een kwaadaardige die extra malware downloadt van anotepad.com.

De Python-kloon van Minesweeper dient als lokaas voor de echte 28 MB base64-gecodeerde string, die de kwaadaardige code bevat. Bovendien decodeert en voert de create_license_ver-functie in de code de malware uit. Dit proces verbergt de kwaadaardige code voor beveiligingssystemen.

Wanneer de functie klaar is met decoderen, wordt a onthuld. ZIP-bestand met de SuperOps RMM. Vervolgens wordt het uitgepakt en uitgevoerd met een statisch wachtwoord.

Cybersecurityspecialisten adviseren dat u voorzichtig moet zijn als u SuperOPS RMM-activiteit op uw apparaat opmerkt, vooral als uw organisatie er geen gebruik van maakt. Controleer ook of er oproepen zijn naar de volgende domeinen: superops.com en superops.ai. Gebruik bovendien een bijgewerkt antivirusapparaat, maak een back-up van belangrijke gegevens en wijzig uw wachtwoorden regelmatig.

Uiteindelijk is de Minesweeper-malware een ernstige bedreiging waar u niet lichtvaardig mee moet omgaan. CERT-UA onthulde vijf vergelijkbare bestanden die in de VS en de EU waren verzonden. Wees dus voorzichtig, vooral als u een financiële organisatie leidt.