Dvojice hackerů si za měsíc a půl vydělala přes 100 000 Kč prodejem hackerského nástroje APOMacroSploit. Do útočné kampaně se zapojilo přibližně 40 různých hackerů a při útocích využívají 100 různých e-mailových adres. Upozornila na to společnost Check Point, která zachytila útoky ve více než 30 zemích, včetně České republiky.
Nový nástroj pro tvorbu malwaru s názvem APOMacroSploit byl použit k e-mailovým útokům na více než 80 společností z celého světa. Bližší analýza společnosti Check Point ukázala, že tento nástroj obsahuje funkce, pomocí kterých se vyhne detekci Windows Defenderem. Nástroj je navíc denně aktualizován, aby se vyhnul dalším detekčním mechanismům. Check Point rozkryl pozadí hrozby i skutečnou identitu jednoho z útočníků. Informace byly sdíleny s příslušnými orgány činnými v trestním řízení.
Oběť je infikována malwarem, jakmile uživatel povolí dynamický obsah XLS dokumentu přiloženého ve škodlivém e-mailu a XLM makro automaticky začne stahovat systémový příkazový skript pro Windows.
Vzhledem k ceně útočného nástroje a počtu útoků lze odhadovat, že dva hlavní kyberzločinci si vydělali minimálně 5 000 dolarů za 1,5 měsíce pouhým prodejem produktu APOMacroSploit.
Výzkumný tým sledoval související útoky a analyzoval RAT (Remote Access Trojan) malware používaný v rámci kampaně ke vzdálené kontrole zařízení obětí a krádeži informací.
Na začátku útoku byl použit škodlivý XLS dokument se zamaskovaným XLM makrem nazvaným Macro 4.0. Makro se spustí automaticky, když oběť otevře dokument a stáhne soubor BAT z domény cutt[.]ly. Spuštění příkazu „attrib“ umožňuje skrýt skript BAT v zařízení oběti.
V této fázi útoku udělali útočníci ale zásadní chybu. Doména cutt[.]ly přímo přesměrovává na server pro stahování a neprovádí požadavek na backend.
U každého souboru byla do názvu vložena přezdívka zákazníka. Zombie99, zmíněný také v názvu souboru, je přezdívka jednoho z útočníků. Bylo tak možné získat seznam přezdívek všech zákazníků a také kyberzločinců.
Při hledání uživatelských jmen zmíněných v názvech souborů BAT našel Check Point reklamu na malware builder s názvem APOMacroSploit. Jedná se o nástroj, který uživateli umožňuje vytvořit XLS soubor, který se vyhne detekci antivirem a dalším bezpečnostním kontrolám.
APOMacroSploit umí také na počítači oběti deaktivovat a upravit Windows Defender, aby bylo snazší spustit škodlivý obsah. Na HackForums.net podle odborníků prodávají APOMacroSploit dva uživatelé: Apocaliptique (Apo) a Nitrix.
Check Point objevil také kanál Discordu, ve kterém Nitrix vystupuje jako vývojář nástroje a Apo jako administrátor. Nitrix i Apocaliptique tam nabízí svým zákazníkům pomoc s použitím nástroje. Hackeři nejen prodali své útočné nástroje, ale také se podíleli na tvorbě a hostování škodlivých kódů.