Google: Kinesiska hackare poserar som McAfee-antivirus för Phish-offer
Kinesiska statssponserade hackare kan utgöra sig av antivirusleverantören McAfee för att lura högt profilerade mål för att ladda ner skadlig kod.
Den misstänkta kinesiska hackgruppen, APT 31, har använt taktiken, enligt Googles säkerhetsteam. Redan i juni rapporterade företagets säkerhetsforskare att APT 31 hade riktat in sig på Joe Bidens presidentkampanj genom att skicka phishing-e-post till sin personal. Målet var att kapa deras personliga e-postkonton, men Google säger att alla nätfiskeförsök verkar ha misslyckats.
På fredag tillhandahöll företaget en uppdatering om APT 31: s aktiviteter. Googles säkerhetsteam har upptäckt hackarens e-postlänkar som är utformade för att i slutändan ladda ner skadlig programvara som är värd över Github, programvaruutvecklingsplattformen.
Specifikt är Windows-baserad skadlig kod byggd med Python-datorspråket. Hackaren kan sedan kontrollera den skadliga koden med den kostnadsfria molnlagringstjänsten Dropbox.
”(Skadlig programvara) skulle göra det möjligt för angriparen att ladda upp och ladda ner filer samt utföra godtyckliga kommandon”, skrev Googles säkerhetsforskare Shane Huntley i blogginlägget. “Varje skadlig del av denna attack var värd för legitima tjänster, vilket gjorde det svårare för försvarare att förlita sig på nätverkssignaler för upptäckt.”
(Kredit: Google)
Huntley fortsatte sedan med att säga en phishing-teknik från APT 31 som involverade sig som antivirusleverantör McAfee. ”Målen skulle uppmanas att installera en legitim version av McAfee-antivirusprogram från GitHub, medan skadlig programvara samtidigt tyst installerades i systemet,” sa han.
Att posera som McAfee är ganska lurigt med tanke på att företaget är ett välkänt namn inom cybersäkerhet. Men taktiken är inte heller förvånande. Statssponserade hackare låtsas ofta som stora internet- och programvaruleverantörer för att lura offren att öppna sina phishing-e-postmeddelanden.
Google har dock vissa skydd mot phishing för att filtrera bort de skadliga attackerna. Om företaget upptäcker en statligt sponsrad hackgrupp som riktar sig till en användare, kommer den också att skicka en varning om nätfiskeförsöket och förklara att en utländsk regering kan stå bakom den.
Enligt Huntley har Google delat sina resultat om APT 31-sponsrade attacker med FBI. Förra månaden rapporterade Microsoft också samma kinesiska hackgrupp som föregick Biden-kampanjen och åtminstone en person som tidigare var associerad med Trump-administrationen. Andra mål inkluderar tjänstemän, akademiker och organisationer som är involverade i internationella angelägenheter.
“Vi har upptäckt tusentals attacker från Zirconium (APT 31) mellan mars 2020 och september 2020 vilket resulterat i nästan 150 kompromisser,” sa Microsoft vid den tiden utan att utarbeta.
