Ruske hakere distriburaju zarazene instalere Zoom i WebEx sa novim Starland malverom
Ruske hakere šalju zaražene instalere WebEx, Zoom i drugih aplikacija sa Starland malverom koji krade kredencijale i kriptovalute.
Šta se desilo?
Ruska hakujuća grupa UAT-11795 distribuira zaražene instalere popularne komunikacijske softvera kako bi ukrao kredencijale i kriptovalute. Nova malver poznatija kao Starland RAT se koristi za pristup sistemima žrtava, a napadi traju od juna 2025. godine.
Koga pogađa?
Napadi ciljaju prvenstveno korisnike u Sjedinjenim Američkim Državama, ali su potvrđene žrtve i u Nemačkoj, Rumuniji i Venecueli. U opasnosti su svi korisnici koji preuzimaju instalere softvera kao što su Zoom, WebEx, MobaXterm, DBeaver i FaceIT iz nepouzdanih izvora.
Kako se zaštititi?
- Preuzimajte software isključivo sa zvaničnih sajtova proizvođača, nikada sa nezvaničnih izvora ili linkova iz nepouzdanih poruka
- Budite oprezni sa upozorenjima koja vas traže da izvršite naredbe iz pregledača ili drugih neobičnih lokacija
- Koristite antivirusnu zaštitu i redovno je ažurirajte na najnoviju verziju
- Aktivirajte autentifikaciju sa dva faktora na svim važnim nalozima, posebno onim sa kriptovalutama
- Redovno monitorujte aktivnost na nalozima i detektujte neobične aktivnosti
- Ne izvršavajte PowerShell skripte ili druge sistemske naredbe ako ne razumete što rade
Tehnički detalji
Starland RAT koristi HTA fajl koji preuzima zaraženi NSIS installer sa Python loaderom. Malver se instalira preko ClickFix metode, modifikuje Windows Registry za perzistenciju i dekriptuje RAT. Malver traži podatke iz više od 40 crypto novčanika, pristupa podaticima pregledača, informacijama o Active Directory i sistemskim detaljima. Starland može da pravi snimke ekrana, izvršava shell naredbe i injektuje shellcode koji može dostavi dodatne malvere - CastleStealer info-stealer i Remcos RAT. Hakerska grupa koristi i nedokumentovan PowerShell C2 framework WLDR koji koristi PBKDF2-SHA256 enkripciju.
Zašto je važno za region
Distribuiranje zaraženih instalera popularne softvera kroz lažne linkove predstavlja ozbiljnu pretnju za sve korisnike u regionu. Metode napada koje koristi UAT-11795 - posebno ClickFix šema i social engineering - su često korišćene i u našoj regiji. Zaštita kriptovalutnih novčanika i bankovnih kredencijala postaje sve kritičnije jer hackerske grupe aktivno ciljaju te podatke.
Preporuka Sajber Radara
Preuzimajte software isključivo sa zvaničnih sajtova i budite veoma skeptični prema bilo kakvim upozorenjima koja vas traže da instalurate aplikacije ili izvršite naredbe. Ako ste već preuzeli Zoom, WebEx ili drugi software sa neobičnog linka - detaljno proverite izvor i razmislite da li ste mogli biti napadnuti.