NYHETER

1 min read

Operation HumanitarianBait: Spionprogram döljs i falska biståndshandlingar

A new Python spyware campaign, dubbed Operation HumanitarianBait, is targeting Russian speakers by disguising a powerful surveillance tool as humanitarian aid documents. The campaign utilizes fileless techniques, trusted platforms like GitHub, and stealthy malware to steal credentials and monitor...

Operation HumanitarianBait: Spionprogram döljs i falska biståndshandlingar
Säkerhetsforskare på Cyble Research and Intelligence Labs (CRIL) har avslöjat en pågående spionkampanj kallad Operation HumanitarianBait. Kampanjen riktar sig mot rysktalande och använder falska dokument om humanitärt bistånd för att installera avancerad spionprogramvara på offrets dator.

Så fungerar attacken

Attacken börjar med ett phishing-mail som innehåller ett RAR-arkiv. I arkivet finns en skadlig LNK-fil som vid öppning kör dold PowerShell-kod direkt i minnet, utan att skriva något till disk. Det gör att många antivirusprogram missar hotet helt. För att inte väcka misstankar öppnas ett falskt PDF-dokument med titeln "Om tillhandahållande av humanitärt bistånd" medan skadlig kod körs i bakgrunden. Dokumentet hämtas från angriparnas kommando- och kontrollserver.

Vad spionprogrammet gör

Huvudmodulen, module.pyw, är ett fullständigt övervakningsverktyg med flera funktioner:
  • Stjäl lösenord och sessionscookies från Chrome, Edge, Brave, Opera och Firefox
  • Kopierar Telegram-sessionsdata
  • Söker igenom mappar efter kryptovalutanycklar
  • Loggar tangenttryckningar och tar kontinuerliga skärmdumpar
  • Installerar RustDesk eller AnyDesk för fjärråtkomst
Koden är skyddad med PyArmor v9.2 Pro för att försvåra analys. Nyttolasten hostas på GitHub Releases, vilket gör att trafiken smälter in bland vanliga programuppdateringar.

Uthållighet och infrastruktur

För att överleva omstarter skapar skadeprogrammet en schemalagd Windows-uppgift kallad "WindowsHelper" som startar om sig självt via VBScript-filer. Angriparnas backend drivs med Flask och infrastrukturen är registrerad hos Namecheap. Att filerna på GitHub uppdateras löpande tyder på att kampanjen aktivt underhålls.

Vad det innebär för företag

Kampanjen visar hur angripare kombinerar social manipulation, legitima plattformar och fileless-teknik för att undvika traditionella säkerhetskontroller. Att nyttolasten hostas på GitHub gör det svårt att blockera trafiken utan att störa legitima arbetsflöden. För svenska företag är lärdomarna tydliga: phishing-mail med bifogade arkivfiler är fortfarande en av de vanligaste ingångsvägarna. Regelbunden utbildning av personal, restriktioner mot körning av LNK-filer och övervakning av schemalagda uppgifter är grundläggande skyddsåtgärder.

Källa: HackRead / Cyble CRIL