Tomcat
Professional
- Messages
- 2,689
- Reaction score
- 911
- Points
- 113
Злоумышленники заманивают ничего не подозревающих пользователей бесплатными или пиратскими версиями коммерческого программного обеспечения для доставки загрузчика вредоносного ПО под названием Hijack Loader, который затем внедряет средство для кражи информации, известное как Vidar Stealer.
"Злоумышленникам удалось обманом заставить пользователей загружать защищенные паролем архивные файлы, содержащие троянские копии приложения Cisco Webex Meetings (ptService.exe) ", - сказал исследователь безопасности Trellix Але Хауспаносян в анализе, опубликованном в понедельник.
"Когда ничего не подозревающие жертвы извлекали и запускали двоичный файл "Setup.exe", приложение Cisco Webex Meetings скрытно загружало скрытый загрузчик вредоносного ПО, что приводило к запуску модуля кражи информации".
Отправной точкой является архивный файл RAR, который содержит исполняемый файл с именем "Setup.exe", но на самом деле является копией модуля ptService Cisco Webex Meetings.
Что делает кампанию примечательной, так это использование методов сторонней загрузки DLL для скрытого запуска Hijack Loader (он же DOILoader или IDAT Loader), который затем действует как канал для удаления Vidar Stealer с помощью скрипта AutoIt.
"Вредоносная программа использует известный метод обхода контроля учетных записей пользователей (UAC) и использует COM-интерфейс CMSTPLUA для повышения привилегий", - сказал Хауспаносян. "После успешного повышения привилегий вредоносная программа добавилась в список исключений Защитника Windows за уклонение от защиты".
Цепочка атак, помимо использования Vidar Stealer для перекачки конфиденциальных учетных данных из веб-браузеров, использует дополнительные полезные нагрузки для развертывания майнера криптовалюты на скомпрометированном хостинге.
Раскрытие информации последовало за всплеском кампаний ClearFake, которые побуждают посетителей сайта вручную запускать скрипт PowerShell для решения предполагаемой проблемы с просмотром веб-страниц, метод, ранее раскрытый ReliaQuest в конце прошлого месяца.
Затем скрипт PowerShell служит стартовой площадкой для Hijack Loader, который в конечном итоге доставляет вредоносное ПО Lumma Stealer. Stealer также оснащен для загрузки еще трех полезных файлов, включая Amadey Loader, загрузчик, который запускает майнер XMRig, и вредоносную программу clipper для перенаправления криптовалютных транзакций на кошельки, контролируемые злоумышленниками.
"Было замечено, что Amadey загружал другие полезные программы, например вредоносное ПО на базе Go, предположительно JaskaGO", - сказали исследователи Proofpoint Томми Маджар, Дасти Миллер и Селена Ларсон. Ларсон.
Компания по корпоративной безопасности заявила, что также обнаружила в середине апреля 2024 года другой кластер активности, получивший название ClickFix, который использовал ложные приманки для обновления браузера для посетителей скомпрометированных сайтов с целью распространения Vidar Stealer с использованием аналогичного механизма, включающего копирование и запуск кода PowerShell.
Другим субъектом угрозы, использующим ту же тактику социальной инженерии в своих кампаниях malspam, является TA571, который, как было замечено, отправлял электронные письма с HTML-вложениями, которые при открытии отображают сообщение об ошибке: "Расширение "Word Online" не установлено в вашем браузере".
В сообщении также есть два варианта: "Как исправить" и "Автоматическое исправление". Если жертва выбирает первый вариант, команда PowerShell в кодировке Base64 копируется в буфер обмена компьютера, за которым следуют инструкции по запуску терминала PowerShell и щелчку правой кнопкой мыши окна консоли, чтобы вставить содержимое буфера обмена и выполнить код, отвечающий за запуск установщика MSI или скрипта Visual Basic (VBS).
Аналогичным образом, пользователи, которые в конечном итоге выбирают "Автоматическое исправление", получают размещенные в WebDAV файлы с именами "fix.msi" или "fix.vbs" в проводнике Windows, воспользовавшись обработчиком протокола "search-ms:".
Независимо от выбранного варианта, выполнение файла MSI завершается установкой Matanbuchus, в то время как выполнение файла VBS приводит к развертыванию DarkGate.
Другие варианты кампании также привели к распространению NetSupport RAT, подчеркивая попытки модифицировать и обновлять приманки и цепочки атак, несмотря на тот факт, что для их успеха требуется значительное взаимодействие со стороны пользователя.
"Законное использование и множество способов хранения вредоносного кода, а также тот факт, что жертва вручную запускает вредоносный код без какой-либо прямой связи с файлом, затрудняют обнаружение этих типов угроз", - заявили в Proofpoint.
"Поскольку у антивирусного программного обеспечения и EDR будут проблемы с проверкой содержимого буфера обмена, обнаружение и блокировка должны быть осуществлены до того, как вредоносный HTML / сайт будет представлен жертве".
Разработка также началась после того, как eSentire раскрыла кампанию вредоносного ПО, использующую сайты-двойники, выдающие себя за Indeed [.]com, для распространения вредоносного ПО, крадущего информацию, SolarMarker с помощью документа-приманки, который якобы предлагает идеи по сплочению команды.
"SolarMarker использует методы поисковой оптимизации (SEO) для манипулирования результатами поисковой системы и повышения видимости вводящих в заблуждение ссылок", - заявила канадская компания по кибербезопасности.
"Использование злоумышленниками тактики SEO для направления пользователей на вредоносные сайты подчеркивает важность осторожного нажатия на результаты поисковой системы, даже если они кажутся законными".
"Злоумышленникам удалось обманом заставить пользователей загружать защищенные паролем архивные файлы, содержащие троянские копии приложения Cisco Webex Meetings (ptService.exe) ", - сказал исследователь безопасности Trellix Але Хауспаносян в анализе, опубликованном в понедельник.
"Когда ничего не подозревающие жертвы извлекали и запускали двоичный файл "Setup.exe", приложение Cisco Webex Meetings скрытно загружало скрытый загрузчик вредоносного ПО, что приводило к запуску модуля кражи информации".
Отправной точкой является архивный файл RAR, который содержит исполняемый файл с именем "Setup.exe", но на самом деле является копией модуля ptService Cisco Webex Meetings.
Что делает кампанию примечательной, так это использование методов сторонней загрузки DLL для скрытого запуска Hijack Loader (он же DOILoader или IDAT Loader), который затем действует как канал для удаления Vidar Stealer с помощью скрипта AutoIt.
"Вредоносная программа использует известный метод обхода контроля учетных записей пользователей (UAC) и использует COM-интерфейс CMSTPLUA для повышения привилегий", - сказал Хауспаносян. "После успешного повышения привилегий вредоносная программа добавилась в список исключений Защитника Windows за уклонение от защиты".
Цепочка атак, помимо использования Vidar Stealer для перекачки конфиденциальных учетных данных из веб-браузеров, использует дополнительные полезные нагрузки для развертывания майнера криптовалюты на скомпрометированном хостинге.
Раскрытие информации последовало за всплеском кампаний ClearFake, которые побуждают посетителей сайта вручную запускать скрипт PowerShell для решения предполагаемой проблемы с просмотром веб-страниц, метод, ранее раскрытый ReliaQuest в конце прошлого месяца.
Затем скрипт PowerShell служит стартовой площадкой для Hijack Loader, который в конечном итоге доставляет вредоносное ПО Lumma Stealer. Stealer также оснащен для загрузки еще трех полезных файлов, включая Amadey Loader, загрузчик, который запускает майнер XMRig, и вредоносную программу clipper для перенаправления криптовалютных транзакций на кошельки, контролируемые злоумышленниками.
"Было замечено, что Amadey загружал другие полезные программы, например вредоносное ПО на базе Go, предположительно JaskaGO", - сказали исследователи Proofpoint Томми Маджар, Дасти Миллер и Селена Ларсон. Ларсон.
Компания по корпоративной безопасности заявила, что также обнаружила в середине апреля 2024 года другой кластер активности, получивший название ClickFix, который использовал ложные приманки для обновления браузера для посетителей скомпрометированных сайтов с целью распространения Vidar Stealer с использованием аналогичного механизма, включающего копирование и запуск кода PowerShell.

Другим субъектом угрозы, использующим ту же тактику социальной инженерии в своих кампаниях malspam, является TA571, который, как было замечено, отправлял электронные письма с HTML-вложениями, которые при открытии отображают сообщение об ошибке: "Расширение "Word Online" не установлено в вашем браузере".
В сообщении также есть два варианта: "Как исправить" и "Автоматическое исправление". Если жертва выбирает первый вариант, команда PowerShell в кодировке Base64 копируется в буфер обмена компьютера, за которым следуют инструкции по запуску терминала PowerShell и щелчку правой кнопкой мыши окна консоли, чтобы вставить содержимое буфера обмена и выполнить код, отвечающий за запуск установщика MSI или скрипта Visual Basic (VBS).
Аналогичным образом, пользователи, которые в конечном итоге выбирают "Автоматическое исправление", получают размещенные в WebDAV файлы с именами "fix.msi" или "fix.vbs" в проводнике Windows, воспользовавшись обработчиком протокола "search-ms:".
Независимо от выбранного варианта, выполнение файла MSI завершается установкой Matanbuchus, в то время как выполнение файла VBS приводит к развертыванию DarkGate.
Другие варианты кампании также привели к распространению NetSupport RAT, подчеркивая попытки модифицировать и обновлять приманки и цепочки атак, несмотря на тот факт, что для их успеха требуется значительное взаимодействие со стороны пользователя.
"Законное использование и множество способов хранения вредоносного кода, а также тот факт, что жертва вручную запускает вредоносный код без какой-либо прямой связи с файлом, затрудняют обнаружение этих типов угроз", - заявили в Proofpoint.
"Поскольку у антивирусного программного обеспечения и EDR будут проблемы с проверкой содержимого буфера обмена, обнаружение и блокировка должны быть осуществлены до того, как вредоносный HTML / сайт будет представлен жертве".
Разработка также началась после того, как eSentire раскрыла кампанию вредоносного ПО, использующую сайты-двойники, выдающие себя за Indeed [.]com, для распространения вредоносного ПО, крадущего информацию, SolarMarker с помощью документа-приманки, который якобы предлагает идеи по сплочению команды.
"SolarMarker использует методы поисковой оптимизации (SEO) для манипулирования результатами поисковой системы и повышения видимости вводящих в заблуждение ссылок", - заявила канадская компания по кибербезопасности.
"Использование злоумышленниками тактики SEO для направления пользователей на вредоносные сайты подчеркивает важность осторожного нажатия на результаты поисковой системы, даже если они кажутся законными".