Bezpečnostní výzkumníci odhalili novou sofistikovanou botnetovou kampaň nazvanou PowMix, která se zaměřuje primárně na zaměstnance v České republice. Tato hrozba kombinuje pokročilé techniky randomizace komunikace s řídicími servery (C2) a skryté těžení kryptoměn na napadených zařízeních.
Jak PowMix funguje
Botnet se šíří převážně prostřednictvím phishingových e-mailů maskovaných jako pracovní dokumenty, faktury nebo interní firemní sdělení. Po otevření přílohy se v systému obětí spustí PowerShellový skript, který stáhne hlavní payload a zajistí persistenci pomocí naplánovaných úloh.
Jedinečným rysem PowMixu je způsob, jakým komunikuje se svými C2 servery. Každý odchozí požadavek obsahuje náhodně vygenerované hlavičky, proměnlivou délku paketů a rotující doménová jména, což výrazně komplikuje detekci pomocí tradičních signaturních nástrojů a síťových firewallů.
Analýza odhalila, že operátoři botnetu využívají napadené počítače ke dvěma hlavním účelům:
- Těžba kryptoměn – především Monero, přičemž škodlivý kód dokáže detekovat vytížení systému a přizpůsobit intenzitu těžby, aby se vyhnul odhalení.
- Sběr přihlašovacích údajů – včetně dat z prohlížečů, VPN klientů a firemních nástrojů pro vzdálený přístup.
„PowMix představuje novou generaci hrozeb, které kombinují nízkoprofilové vytěžování zdrojů s vysoce adaptabilní komunikační vrstvou,“ uvedl jeden z výzkumníků podílejících se na analýze. „Právě kombinace těchto technik činí botnet mimořádně obtížně detekovatelným v prostředí korporátních sítí.“
Zaměření na české firmy
Výzkumníci zjistili, že většina dosud zaznamenaných infekcí pochází z českých organizací, zejména ze sektoru výroby, logistiky a státní správy. Phishingové zprávy jsou psány v plynulé češtině a často obsahují odkazy na skutečné osoby nebo události v dané firmě, což svědčí o pečlivém průzkumu před samotným útokem.
„Útočníci si zjevně dali záležet na lokalizaci a sociálním inženýrství. Úroveň jazykové kvality a personalizace je nadprůměrná,“ poznamenal bezpečnostní analytik.
Výzkumný tým dále varoval, že PowMix se aktivně vyvíjí a v posledních týdnech byly pozorovány nové varianty s vylepšenými obfuskačními technikami a rozšířenou podporou cílových platforem včetně linuxových serverů.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
