Търсене
Close this search box.

Хакери използват троянски клонинг на Minesweeper

Хакери използват код от Python клонинг на известната игра Minesweeper на Microsoft, за да скрият злонамерени скриптове в атаки срещу европейски и американски финансови организации.

Украинските служби CSIRT-NBU и CERT-UA приписват атаките на заплахата, проследена като „UAC-0188“, която използва легитимния код, за да скрие Python скриптове, които изтеглят и инсталират SuperOps RMM.

Superops RMM е легитимен софтуер за дистанционно управление, който дава на отдалечените атакуващи пряк достъп до компрометираните системи.

CERT-UA съобщава, че проучването след първоначалното откриване на тази атака е разкрило поне пет потенциални пробива от същите файлове във финансови и застрахователни институции в Европа и САЩ.

Анатомия на атаката

Атаката започва с имейл, изпратен от адреса „support@patient-docs-mail.com“, представящ се за медицински център, с тема „Личен уеб архив на медицински документи“.

Получателят е подканен да изтегли 33MB .SCR файл от предоставената връзка към Dropbox. Този файл съдържа безобиден код от Python клонинг на играта Minesweeper заедно със зловреден Python код, който изтегля допълнителни скриптове от отдалечен източник („anotepad.com“).

Включването на кода на Minesweeper в изпълнимия файл служи за прикритие на 28MB base64-encoded низ, съдържащ зловредния код, като се прави опит той да изглежда доброкачествен за софтуера за сигурност.

Освен това кодът на Minesweeper съдържа функция, наречена „create_license_ver“, която се пренасочва за декодиране и изпълнение на скрития зловреден код, така че за маскиране и улесняване на кибератаката се използват легитимни софтуерни компоненти.

Низът base64 се декодира, за да се сглоби ZIP файл, който съдържа MSI инсталатор за SuperOps RMM, който в крайна сметка се извлича и изпълнява, като се използва статична парола.

SuperOps RMM е легитимен инструмент за отдалечен достъп, но в този случай той се използва, за да предостави на нападателите неоторизиран достъп до компютъра на жертвата.

CERT-UA отбелязва, че организациите, които не използват продукта SuperOps RMM, трябва да третират наличието му или свързаната с него мрежова активност, като например обаждания към домейните „superops.com“ или“ superops.ai“, като признак за компрометиране от хакери.

Агенцията е споделила и допълнителни индикатори за компрометиране (IoC), свързани с тази атака, в долната част на доклада.

 

 

Източник: e-security.bg

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
16 юни 2024

CISA предупреждава за бъг в Windows, използван ...

Американската агенция за киберсигурност и инфраструктурна сигурност...
16 юни 2024

Бивш служител е осъден на 32 месеца затвор за и...

Бивш служител на National Computer Systems (NCS), отговарящ за осиг...
Бъдете социални
Още по темата
12/06/2024

Нова заплаха се разпростран...

Невиждан досега зловреден софтуер за Windows,...
19/05/2024

Grandoreiro се завръща по -...

Банковият троянец за Android „Grandoreiro“ се...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!