Hat éven át észrevétlenül ténykedett egy Unfading Sea Haze nevű, eddig ismeretlen rosszindulatú fél, mely a Dél-kínai-tengernél fekvő katonai és kormányzati szereplőket célozta – írja a Bleeping Computer a Bitdefender kutatóinak jelentése nyomán.

A kutatók szerint a rosszindulatú fél működése kapcsolható a kínai geopolitikai érdekekkel, legyen szó hírszerzésről vagy kémtevékenységről.

A szóban forgó csoport által végzett műveletek az adathalász támadások egy célzott formájával, az úgynevezett „szigonyozással” (spear-phishing) vették kezdetüket. Ez egy csalárd e-mail formájában érkezett meg a célponthoz, melyben rosszindulatú ZIP-állomány is volt.

Ezekben dokumentumnak álcázott LNK-fájlok voltak. A jelentés szerint 2024 márciusa óta a csalárd levelek és állományok amerikai politikai témákat érintettek, míg a ZIP-fájlok neve a Windows Defender víruskereső telepítő- és frissítőfájlok nevére utalt.

Az LNK-fájl azonban – bárhogy is nevezik – egy hosszú PowerShell-parancsot tartalmaz, mely ellenőrzi, telepítve van-e a gépre a az ESET vírusirtó. Ha igen, ennyi, leáll a támadás. Ha viszont nincs, halad tovább, és közvetlenül a memóriában indítja el a kártevőt. Ezzel az ügyes trükkel végső soron észrevétlenül lapulhat az áldozat gépén a kártékony kód.

Ha a támadók sikeresen végigzongoráznak minden folyamatot, gyakorlatilag távirányítást szerezhetnek a gép felett, még egy rejtett rendszergazdai fiókot is létrehoznak.

Végül minden billentyűleütést láthatnak, és az összes böngészőből kinyerhetnek egy sor adatot.

A rendszerüzemeltetőknek nincs könnyű dolguk a támadás kivédésére vagy megállítására: többlépcsős azonosítás alkalmazása, a hálózati forgalom folyamatos monitorozása, valamint a legmodernebb kártevőészlelő programok beszerzése egyaránt szükséges hozzá. Katonai és kormányzati szereplők gépein egy ilyen kártevő komoly veszélyt jelent, még akkor is, ha a legtöbb fájl a felhőben van mentve.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.