Търсене
Close this search box.

Заплахите, които стоят зад устройствата за кражба на информация RedLine и Vidar, са наблюдавани при преминаването към ransomware чрез фишинг кампании, които разпространяват първоначални товари, подписани със сертификати за подписване на код с разширена валидация (EV).

„Това предполага, че участниците в заплахите рационализират операциите си, като правят техниките си многофункционални“, казват изследователите от Trend Micro в нов анализ, публикуван тази седмица.

В инцидента, разследван от компанията за киберсигурност, се казва, че неназована жертва първо е получила зловреден софтуер за кражба на информация с EV сертификати за подписване на код, последван от софтуер за откуп, използващ същата техника за доставка.

В миналото инфекциите с QakBot са използвали образци, подписани с валидни сертификати за подписване на код, за да заобиколят защитите за сигурност.

Атаките започват с фишинг имейли, в които се използват добре изпитани примамки, за да се подмамят жертвите да стартират зловредни прикачени файлове, които се маскират като PDF или JPG изображения, но всъщност са изпълними файлове, които стартират компромата при стартиране.

Докато кампанията, насочена към жертвата, доставя зловреден софтуер за кражба през юли, полезният товар на рансъмуера си проправя път в началото на август след получаване на имейл съобщение, съдържащо фалшив прикачен файл с оплакване от TripAdvisor („TripAdvisor-Complaint.pdf.htm“), което задейства поредица от стъпки, чиято кулминация е внедряването на рансъмуера.

„На този етап си струва да се отбележи, че за разлика от образците на крадеца на информация, които разследвахме, файловете, използвани за пускане на полезния товар на ransomware, нямаха EV сертификати“, казват изследователите.

„Въпреки това, двете произхождат от един и същ извършител и се разпространяват чрез един и същ метод за доставка. Следователно можем да предположим разделение на труда между доставчика на полезния товар и операторите“.

Разработката идва в момент, когато IBM X-Force откри нови фишинг кампании, разпространяващи подобрена версия на зареждащ зловреден софтуер на име DBatLoader, който беше използван като канал за разпространение на FormBook и Remcos RAR по-рано тази година.

Новите възможности на DBatLoader улесняват заобикалянето на UAC, постоянството и инжектирането на процеси, което показва, че той се поддържа активно, за да пуска зловредни програми, които могат да събират чувствителна информация и да дават възможност за отдалечен контрол на системите.

Последният набор от атаки, открити от края на юни, е разработен така, че да доставя и стоков зловреден софтуер като Agent Tesla и Warzone RAT. По-голямата част от съобщенията по електронната поща са изтъкнати англоговорящи, въпреки че са забелязани и имейли на испански и турски език.

„В няколко наблюдавани кампании участниците в заплахата са използвали достатъчен контрол върху имейл инфраструктурата, за да могат зловредните имейли да преминат през методите за удостоверяване на имейли SPF, DKIM и DMARC“, заяви компанията.

„По-голямата част от кампаниите са използвали OneDrive, за да поставят и изтеглят допълнителни полезни товари, а малка част са използвали трансфер[.]sh или нови/компрометирани домейни.“

Във връзка с това Malwarebytes разкри, че нова злонамерена рекламна кампания е насочена към потребители, които търсят софтуера за видеоконференции Webex на Cisco в търсачки като Google, за да ги пренасочи към фалшив уебсайт, който разпространява зловредния софтуер BATLOADER.

От своя страна BATLOADER установява контакт с отдалечен сървър, за да изтегли криптиран полезен товар на втори етап, който е друг известен зловреден софтуер за кражба и запис на ключове, наречен DanaBot.

Нова техника, възприета от извършителя на заплахата, е използването на URL адреси на шаблони за проследяване като механизъм за филтриране и пренасочване за снемане на отпечатъци и определяне на потенциални жертви, които представляват интерес. Посетителите, които не отговарят на критериите (напр. заявки, произхождащи от среда със сенд бокс), се насочват към легитимния сайт на Webex.

„Тъй като рекламите изглеждат толкова легитимни, няма съмнение, че хората ще кликнат върху тях и ще посетят опасни сайтове“, казва Жером Сегура, директор на отдела за разузнаване на заплахи в Malwarebytes.

„Видът на софтуера, който се използва в тези реклами, показва, че участниците в заплахите се интересуват от корпоративни жертви, които ще им предоставят идентификационни данни, полезни за по-нататъшно „тестване“ на мрежата, а в някои случаи и за внедряване на софтуер за откуп.“

Източник: The Hacker News

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
Бъдете социални
Още по темата
10/12/2024

Deloitte опроверга рансъмуе...

Deloitte направи изявление в отговор на...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
04/12/2024

Производителят на водки Sto...

Компаниите на Stoli Group в САЩ...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!