Skadevare-aktørene ser hele tiden etter nye angrepsmetoder og -vektorer og har blitt relativt kyndige i så måte. Nå advarer et sikkerhetsselskap mot skadevareangrep som spres ved hjelp av nettskytjenester, skriver blant andre ZDNet.
Etterforskere hos sikkerhetsselskapet Cisco Talos rapporterer at de har avdekket en omfattende skadevare-kampanje som benytter seg av nettsky-infrastrukturen til store aktører som Amazon og Microsoft – nærmere bestemt deres respektive AWS- og Azure-plattformer.
Kan ta kontroll over PC-en
Skadevaren som spres i den nye kampanjen er varianter av tre såkalte fjernaksesstrojanere eller RAT-programvare (remote access trojan). Disse heter Nanocore, Netwire og AsyncRAT, og de skilter med en rekke farlige attributter.
![HP Norge](https://images.gfx.no/80x/2757/2757793/hp%2520logo.png)
![](https://images.gfx.no/cx0,cy1137,cw8192,ch2731,2000x/2848/2848258/hp_day4_roz_ambiente_maja_0384_shot_086%2520(1).jpg)
– Trusselaktøren i dette tilfellet brukte skytjenester til å iverksette og levere varianter av RAT-programmer med informasjonsstjelende egenskaper rundt 26. oktober 2021. Disse RAT-variantene er fullstappet med flere funksjoner for å ta kontroll over offerets miljø for å fjernkjøre vilkårlige kommandoer og stjele offerets informasjon, skriver forskerne.
Ifølge Cisco starter angrepene hovedsakelig, som så ofte ellers, med en phishing-e-post som inneholder et ondsinnet vedlegg – i dette tilfellet en zip-fil.
Zip-filen inneholder et ISO-bilde med en skjult nedlaster som henter ned selve skadevaren, og nedlastningsserverne skal være en del av Microsoft Azure- og Amazon AWS-plattformene.
Verdt å merke seg er at skadevaren bruker den gratis DNS-tjenesten DuckDNS, som ifølge Cisco Talos setter bakmennene i stand til å bytte IP-adressene til kommandoserverne regelmessig og raskt legge til nye subdomener.
Sikkerhetsselskapet bedyrer at formålet med å benytte skyplattformer til å spre skadevare først og fremst er å gjøre jobben enklere for bakmennene, ved at de ikke trenger å benytte egen infrastruktur.
![Cisco melder om skadevare som spres gjennom annonser.](https://images.gfx.no/130x87/2708/2708159/COLOURBOX22227313.jpg)
Farlig skadevare stjeler passord – Norge er rammet
Kan stjele passord og kredittkortdata
Ved å benytte Azure og AWS kan bakmennene iverksette handlingene med minimal tidsbruk og få ressurser, samt at teknikken gjør det vanskeligere å oppdage den ondsinnede virksomheten.
Når det gjelder de spesifikke egenskapene til skadevaren, er Netwire ifølge Cisco en kjent trussel som spesialiserer seg på blant annet å stjele passord, brukernavn og kredittkortdata, samt samle inn informasjon om filsystemer.
Nanocore-programvaren er i stand til å ta opp video og audio og fjernutføre kommandoer, mens AsyncRAT brukes til overvåkning og kontroll av PC-er via krypterte forbindelser, opplyser sikkerhetsforskerne. AsyncRAT kan utføre både keylogging, skjermopptak og systemkonfigurasjon.
Ofrene for den nye kampanjen befinner seg primært i USA og Canada, men forskerne har også sett aktivitet i Europa, deriblant Italia og Spania. At Norge også kan rammes, er derfor ikke utenkelig.
Cisco Talos råder organisasjoner til å overvåke utgående forbindelser til skytjenester og benytte sikkerhetssystemer med flere lag. Enda viktigere er det å opprettholde gode rutiner for e-postsikkerhet, slik at infeksjonen ikke starter i utgangspunktet.
Flere tekniske detaljer om kampanjen finner du i sikkerhetsselskapets egen rapport.
![Ny skadevare distribuerer RAT-programmer og er vanskelig å oppdage, opplyser forskere.](https://images.gfx.no/130x87/2707/2707298/binary-2372130_1920.jpg)
Denne skadevaren smetter unna nesten alle antivirusprogrammer