Поддельные обновления веб-браузера используются для доставки троянов удаленного доступа (RATs) и вредоносных программ для кражи информации, таких как BitRAT и Lumma Stealer (он же LummaC2).
"Поддельные обновления браузера были причиной многочисленных заражений вредоносными программами, в том числе хорошо известным вредоносным ПО SocGholish", - говорится в новом отчете eSentire, занимающейся кибербезопасностью. "В апреле 2024 года мы наблюдали, как FakeBat распространяется с помощью аналогичных механизмов поддельных обновлений".
Цепочка атак начинается, когда потенциальные цели посещают веб-сайт-ловушку, содержащий код JavaScript, предназначенный для перенаправления пользователей на поддельную страницу обновления браузера ("chatgpt-app [.] cloud").
Перенаправленная веб-страница поставляется со встроенной ссылкой для скачивания файла ZIP-архива ("Update.zip"), который размещен на Discord и автоматически загружается на устройство жертвы.
Стоит отметить, что злоумышленники часто используют Discord в качестве вектора атаки: недавний анализ Bitdefender выявил более 50 000 опасных ссылок, распространяющих вредоносное ПО, фишинговые кампании и спам за последние шесть месяцев.
В файле ZIP-архива присутствует другой файл JavaScript ("Update.js"), которое запускает выполнение сценариев PowerShell, ответственных за получение дополнительных полезных данных, включая BitRAT и Lumma Stealer, с удаленного сервера в виде файлов изображений PNG.
Также таким образом извлекаются скрипты PowerShell для обеспечения сохраняемости и загрузчик на базе .NET, который в основном используется для запуска вредоносного ПО последней стадии. eSentire предположил, что загрузчик, вероятно, рекламируется как "служба доставки вредоносного ПО" из-за того факта, что один и тот же загрузчик используется для развертывания BitRAT и Lumma Stealer.
BitRAT - это многофункциональная программа RAT, которая позволяет злоумышленникам собирать данные, майнить криптовалюту, загружать больше двоичных файлов и удаленно управлять зараженными хостами. Lumma Stealer, вредоносное ПО для кражи товаров, доступное по цене от 250 до 1000 долларов в месяц с августа 2022 года, предлагает возможность захватывать информацию из веб-браузеров, криптовалютных кошельков и других конфиденциальных данных.
"Приманка для поддельных обновлений браузера стала обычным явлением среди злоумышленников как средство проникновения на устройство или сеть", - заявили в компании, добавив, что это "демонстрирует способность оператора использовать надежные имена для максимального охвата и воздействия".
В то время как такие атаки обычно используют несанкционированные загрузки и методы вредоносной рекламы, ReliaQuest в отчете, опубликованном на прошлой неделе, сообщила, что обнаружила новый вариант кампании ClearFake, которая обманом заставляет пользователей копировать, вставлять и вручную выполнять вредоносный код PowerShell под предлогом обновления браузера.
В частности, вредоносный веб-сайт утверждает, что "что-то пошло не так при отображении этой веб-страницы", и инструктирует посетителя сайта установить корневой сертификат для устранения проблемы, выполнив ряд шагов, которые включают копирование запутанного кода PowerShell и запуск его в терминале PowerShell.
"После выполнения код PowerShell выполняет множество функций, включая очистку кэша DNS, отображение окна сообщения, загрузку дополнительного кода PowerShell и установку вредоносного ПО LummaC2", - сказали в компании.
Согласно информации, предоставленной фирмой по кибербезопасности, Lumma Stealer стала одним из самых распространенных похитителей информации в 2023 году, наряду с RedLine и Raccoon.
"Количество выставленных на продажу журналов, полученных с помощью LummaC2, увеличилось на 110% с 3 по 4 квартал 2023 года", - отмечается. "Растущая популярность LummaC2 среди злоумышленников, вероятно, связана с его высокой вероятностью успеха, что относится к его эффективности в успешном проникновении в системы и извлечении конфиденциальных данных без обнаружения".
Разработка началась после того, как Центр анализа безопасности AhnLab (ASEC) раскрыл подробности новой кампании, в которой webhards (сокращение от web hard drive) используются в качестве канала для распространения вредоносных инсталляторов для игр для взрослых и взломанных версий Microsoft Office и, в конечном итоге, для развертывания различных вредоносных программ, таких как Orcus RAT, XMRig miner, 3proxy и XWorm.
Аналогичные цепочки атак с участием веб-сайтов, предлагающих пиратское программное обеспечение, привели к развертыванию загрузчиков вредоносных программ, таких как PrivateLoader и TaskLoader, которые предлагаются другим киберпреступникам в качестве платной услуги за установку (PPI) для доставки собственной полезной нагрузки.
Это также следует из новых выводов Silent Push о "почти эксклюзивном использовании" CryptoChameleon серверов имен DNSPod[.]com для поддержки архитектуры своего фишингового набора. DNSPod, часть китайской компании Tencent, имеет историю предоставления услуг вредоносным пуленепробиваемым хостинг-операторам.
"CryptoChameleon использует серверы имен DNSPod для использования методов быстрого уклонения от потока, которые позволяют субъектам угрозы быстро перемещаться по большому количеству IP-адресов, связанных с одним доменным именем", - сказали в компании.
"Fast flux позволяет инфраструктуре CryptoChameleon обходить традиционные контрмеры и значительно снижает эксплуатационную ценность устаревших IOC на определенный момент времени". используя по крайней мере семь основных учетных записей в социальных сетях и сеть CIB, насчитывающую более 250 учетных записей.
"Поддельные обновления браузера были причиной многочисленных заражений вредоносными программами, в том числе хорошо известным вредоносным ПО SocGholish", - говорится в новом отчете eSentire, занимающейся кибербезопасностью. "В апреле 2024 года мы наблюдали, как FakeBat распространяется с помощью аналогичных механизмов поддельных обновлений".
Цепочка атак начинается, когда потенциальные цели посещают веб-сайт-ловушку, содержащий код JavaScript, предназначенный для перенаправления пользователей на поддельную страницу обновления браузера ("chatgpt-app [.] cloud").
Перенаправленная веб-страница поставляется со встроенной ссылкой для скачивания файла ZIP-архива ("Update.zip"), который размещен на Discord и автоматически загружается на устройство жертвы.
Стоит отметить, что злоумышленники часто используют Discord в качестве вектора атаки: недавний анализ Bitdefender выявил более 50 000 опасных ссылок, распространяющих вредоносное ПО, фишинговые кампании и спам за последние шесть месяцев.
В файле ZIP-архива присутствует другой файл JavaScript ("Update.js"), которое запускает выполнение сценариев PowerShell, ответственных за получение дополнительных полезных данных, включая BitRAT и Lumma Stealer, с удаленного сервера в виде файлов изображений PNG.
Также таким образом извлекаются скрипты PowerShell для обеспечения сохраняемости и загрузчик на базе .NET, который в основном используется для запуска вредоносного ПО последней стадии. eSentire предположил, что загрузчик, вероятно, рекламируется как "служба доставки вредоносного ПО" из-за того факта, что один и тот же загрузчик используется для развертывания BitRAT и Lumma Stealer.
BitRAT - это многофункциональная программа RAT, которая позволяет злоумышленникам собирать данные, майнить криптовалюту, загружать больше двоичных файлов и удаленно управлять зараженными хостами. Lumma Stealer, вредоносное ПО для кражи товаров, доступное по цене от 250 до 1000 долларов в месяц с августа 2022 года, предлагает возможность захватывать информацию из веб-браузеров, криптовалютных кошельков и других конфиденциальных данных.
"Приманка для поддельных обновлений браузера стала обычным явлением среди злоумышленников как средство проникновения на устройство или сеть", - заявили в компании, добавив, что это "демонстрирует способность оператора использовать надежные имена для максимального охвата и воздействия".
В то время как такие атаки обычно используют несанкционированные загрузки и методы вредоносной рекламы, ReliaQuest в отчете, опубликованном на прошлой неделе, сообщила, что обнаружила новый вариант кампании ClearFake, которая обманом заставляет пользователей копировать, вставлять и вручную выполнять вредоносный код PowerShell под предлогом обновления браузера.
В частности, вредоносный веб-сайт утверждает, что "что-то пошло не так при отображении этой веб-страницы", и инструктирует посетителя сайта установить корневой сертификат для устранения проблемы, выполнив ряд шагов, которые включают копирование запутанного кода PowerShell и запуск его в терминале PowerShell.
"После выполнения код PowerShell выполняет множество функций, включая очистку кэша DNS, отображение окна сообщения, загрузку дополнительного кода PowerShell и установку вредоносного ПО LummaC2", - сказали в компании.
Согласно информации, предоставленной фирмой по кибербезопасности, Lumma Stealer стала одним из самых распространенных похитителей информации в 2023 году, наряду с RedLine и Raccoon.
"Количество выставленных на продажу журналов, полученных с помощью LummaC2, увеличилось на 110% с 3 по 4 квартал 2023 года", - отмечается. "Растущая популярность LummaC2 среди злоумышленников, вероятно, связана с его высокой вероятностью успеха, что относится к его эффективности в успешном проникновении в системы и извлечении конфиденциальных данных без обнаружения".
Разработка началась после того, как Центр анализа безопасности AhnLab (ASEC) раскрыл подробности новой кампании, в которой webhards (сокращение от web hard drive) используются в качестве канала для распространения вредоносных инсталляторов для игр для взрослых и взломанных версий Microsoft Office и, в конечном итоге, для развертывания различных вредоносных программ, таких как Orcus RAT, XMRig miner, 3proxy и XWorm.
Аналогичные цепочки атак с участием веб-сайтов, предлагающих пиратское программное обеспечение, привели к развертыванию загрузчиков вредоносных программ, таких как PrivateLoader и TaskLoader, которые предлагаются другим киберпреступникам в качестве платной услуги за установку (PPI) для доставки собственной полезной нагрузки.
Это также следует из новых выводов Silent Push о "почти эксклюзивном использовании" CryptoChameleon серверов имен DNSPod[.]com для поддержки архитектуры своего фишингового набора. DNSPod, часть китайской компании Tencent, имеет историю предоставления услуг вредоносным пуленепробиваемым хостинг-операторам.
"CryptoChameleon использует серверы имен DNSPod для использования методов быстрого уклонения от потока, которые позволяют субъектам угрозы быстро перемещаться по большому количеству IP-адресов, связанных с одним доменным именем", - сказали в компании.
"Fast flux позволяет инфраструктуре CryptoChameleon обходить традиционные контрмеры и значительно снижает эксплуатационную ценность устаревших IOC на определенный момент времени". используя по крайней мере семь основных учетных записей в социальных сетях и сеть CIB, насчитывающую более 250 учетных записей.
