Обновленная версия вредоносного ПО для кражи информации под названием Rhadamanthys используется в фишинговых кампаниях, нацеленных на нефтегазовый сектор.
"Фишинговые электронные письма используют уникальную приманку для инцидента с транспортным средством, а на более поздних этапах цепочки заражения подделывают Федеральное бюро транспорта в PDF-файле, в котором упоминается значительный штраф за инцидент", - сказал исследователь Cofense Дилан Дункан.
Электронное сообщение содержит вредоносную ссылку, которая использует уязвимость открытого перенаправления, чтобы перенаправить получателей на ссылку, содержащую предполагаемый PDF-документ, но на самом деле это изображение, при нажатии на которое загружается ZIP-архив с полезной нагрузкой stealer.
Написанный на C ++, Rhadamanthys предназначен для установления соединений с сервером командования и управления (C2) с целью сбора конфиденциальных данных со скомпрометированных хостов.
"Эта кампания началась через несколько дней после того, как правоохранительные органы пресекли деятельность группы программ-вымогателей LockBit", - сказал Дункан. "Хотя это может быть совпадением, Trend Micro в августе 2023 года представила вариант Rhadamanthys, который поставлялся в комплекте с утечкой полезной нагрузки LockBit, а также вредоносного ПО clipper и майнера криптовалют.
"Злоумышленники добавили комбинацию программы для кражи информации и программы-вымогателя LockBit в одном пакете Rhadamanthys, что, возможно, указывает на продолжающуюся эволюцию вредоносного ПО", - отметили в компании.
Разработка происходит на фоне постоянного потока новых семейств вредоносных программ-похитителей, таких как Sync-Scheduler и Mighty Stealer, даже несмотря на то, что существующие разновидности, такие как StrelaStealer, развиваются благодаря усовершенствованным методам обфускации и антианализа.
Это также следует за появлением кампании malspam, нацеленной на Индонезию, в которой используются приманки, связанные с банковской деятельностью, для распространения вредоносного ПО Agent Tesla для кражи конфиденциальной информации, такой как учетные данные для входа, финансовые данные и личные документы.
Фишинговые кампании агента Tesla, наблюдавшиеся в ноябре 2023 года, также нацелились на Австралию и США, согласно Check Point, которые приписывали операции двум субъектам угрозы африканского происхождения, отслеживаемым как Bignosa (он же Носахаре Годсон и Андрей Иван) и Gods (он же ГОДИНЬО, или Кмаршал, или Кингсли Фредрик), последний из которых работает веб-дизайнером.
"Основное действующее лицо [Bignosa], по-видимому, является частью группы, управляющей вредоносным ПО и фишинговыми кампаниями, нацеленными на организации, что подтверждается базами данных электронной почты США и Австралии, а также частными лицами", - заявила израильская компания по кибербезопасности.
Было обнаружено, что вредоносное ПО Agent Tesla, распространяемое по этим цепочкам атак, защищено Cassandra Protector, который помогает защитить программы от попыток обратного проектирования или модификации. Сообщения отправляются с помощью веб-почтового инструмента RoundCube с открытым исходным кодом.
"Как видно из описания действий этих участников угрозы, для проведения операций по киберпреступности с использованием одного из самых распространенных семейств вредоносных программ за последние несколько лет не требуется ученой степени", - сказал Check Point.
"Это неудачный ход событий, вызванный низким порогом входа, так что любой, кто хочет спровоцировать жертв на запуск вредоносного ПО с помощью спам-кампаний, может это сделать".
"Фишинговые электронные письма используют уникальную приманку для инцидента с транспортным средством, а на более поздних этапах цепочки заражения подделывают Федеральное бюро транспорта в PDF-файле, в котором упоминается значительный штраф за инцидент", - сказал исследователь Cofense Дилан Дункан.
Электронное сообщение содержит вредоносную ссылку, которая использует уязвимость открытого перенаправления, чтобы перенаправить получателей на ссылку, содержащую предполагаемый PDF-документ, но на самом деле это изображение, при нажатии на которое загружается ZIP-архив с полезной нагрузкой stealer.
Написанный на C ++, Rhadamanthys предназначен для установления соединений с сервером командования и управления (C2) с целью сбора конфиденциальных данных со скомпрометированных хостов.
"Эта кампания началась через несколько дней после того, как правоохранительные органы пресекли деятельность группы программ-вымогателей LockBit", - сказал Дункан. "Хотя это может быть совпадением, Trend Micro в августе 2023 года представила вариант Rhadamanthys, который поставлялся в комплекте с утечкой полезной нагрузки LockBit, а также вредоносного ПО clipper и майнера криптовалют.
"Злоумышленники добавили комбинацию программы для кражи информации и программы-вымогателя LockBit в одном пакете Rhadamanthys, что, возможно, указывает на продолжающуюся эволюцию вредоносного ПО", - отметили в компании.
Разработка происходит на фоне постоянного потока новых семейств вредоносных программ-похитителей, таких как Sync-Scheduler и Mighty Stealer, даже несмотря на то, что существующие разновидности, такие как StrelaStealer, развиваются благодаря усовершенствованным методам обфускации и антианализа.
Это также следует за появлением кампании malspam, нацеленной на Индонезию, в которой используются приманки, связанные с банковской деятельностью, для распространения вредоносного ПО Agent Tesla для кражи конфиденциальной информации, такой как учетные данные для входа, финансовые данные и личные документы.
Фишинговые кампании агента Tesla, наблюдавшиеся в ноябре 2023 года, также нацелились на Австралию и США, согласно Check Point, которые приписывали операции двум субъектам угрозы африканского происхождения, отслеживаемым как Bignosa (он же Носахаре Годсон и Андрей Иван) и Gods (он же ГОДИНЬО, или Кмаршал, или Кингсли Фредрик), последний из которых работает веб-дизайнером.
"Основное действующее лицо [Bignosa], по-видимому, является частью группы, управляющей вредоносным ПО и фишинговыми кампаниями, нацеленными на организации, что подтверждается базами данных электронной почты США и Австралии, а также частными лицами", - заявила израильская компания по кибербезопасности.
Было обнаружено, что вредоносное ПО Agent Tesla, распространяемое по этим цепочкам атак, защищено Cassandra Protector, который помогает защитить программы от попыток обратного проектирования или модификации. Сообщения отправляются с помощью веб-почтового инструмента RoundCube с открытым исходным кодом.
"Как видно из описания действий этих участников угрозы, для проведения операций по киберпреступности с использованием одного из самых распространенных семейств вредоносных программ за последние несколько лет не требуется ученой степени", - сказал Check Point.
"Это неудачный ход событий, вызванный низким порогом входа, так что любой, кто хочет спровоцировать жертв на запуск вредоносного ПО с помощью спам-кампаний, может это сделать".
