Kaspersky-forskare noterade en uppdaterad Wroba malware levererad av Roaming Mantis-hotaktörer i en ny kampanj som kan utnyttja mål med DNS-kapning.
Kampanjen har som mål att omdirigera användare till falska målsidor för ytterligare exploatering, och för första gången på flera år har kampanjen setts expandera utanför Sydkorea till flera nationer i Europa.
Expansion av skadlig programvara
Kaspersky-forskare beskriver en ny kampanj som kommer från hotaktörer från Roaming Mantis-gruppen, där en uppdaterad Wroba malware nyligen har distribuerats till flera europeiska länder.
Kampanjen börjar med att målets WiFi-routrar smishing eller DNS-förgiftning för att omdirigera dem till en nätfiskewebbplats som bär den faktiska nyttolasten för framtida utnyttjande. Proprietär skadlig programvara – WrobaDet kan levereras genom falska webbplatser eller appar, säger forskare.
Wroba, även känd som MoqHao och XLoader, är en skadlig programvara som kan absorbera ett måls finansiella information för hotaktörer och har tidigare använts främst i Sydkorea. Nu har forskare märkt att skaparna av denna skadliga programvara expanderar till flera europeiska länder, för första gången sedan den skapades.
De har märkt att denna skadliga programvara sprids via smishing i Österrike, Frankrike, Tyskland, Indien, Japan, Malaysia, Taiwan, Turkiet och USA på senare tid. Wroba innehåller effektivt en DNS-växlarfunktion som kan upptäcka vissa routrar baserat på deras modellnummer och förgifta deras DNS-inställningar.
Dessutom är detta utnyttjande inte bara begränsat till offret, utan även till andra människor som de kan ansluta sig till digitalt på vilka villkor som helst. Det noterade forskarna
