Microsoft предупреждава за продължаваща  спиър  фишинг кампания, насочена към авиокомпании и туристически организации чрез множество троянци за отдалечен достъп (RAT), внедрявани с помощта на нов мегод за зареждане.

„През последните няколко месеца Microsoft проследява динамична кампания, насочена към аерокосмическия и туристическия сектор с имейли за фишинг, които разпространяват активно разработен лоудър, който след това доставя RevengeRAT или AsyncRAT“, казва Microsoft.

Фишинг имейлите подвеждат легитимни организации и използват имитационни примамки, представящи се за PDF документи, съдържащи информация, свързана с няколко сектора на индустрията, включително авиацията, пътуванията и товарите.

Както Microsoft забеляза по време на проследяването на тази кампания, крайната цел на хакерската група е да събира и извлича данни от заразени устройства, използвайки възможностите за дистанционно управление, регистриране на ключове и кражба на пароли на RAT.

Веднъж внедрен, зловредният софтуер им позволява да „откраднат идентификационни данни, екранни снимки и данни от уебкамери, данни от браузър и клипборд, система и мрежа  и най- често извеждат откраднатата информация чрез SMTP порт 587.“

RAT Loader –  проектиран да заобикаля откриването

Новооткритият лоудер, монетизиран по модел Crypter-as-a-Service, наречен Snip3, от анализаторите на злонамерен софтуер Morphisec, се използва за изпускане на полезния товар на Revenge RAT, AsyncRAT, Agent Tesla и NetWire RAT на компрометирани системи.

Връзките, които злоупотребяват с легитимни уеб услуги и са вградени в съобщенията за фишинг, изтеглят VBS файловете на първия етап VBScript, които изпълняват скрипт PowerShell на втория етап, който от своя страна изпълнява крайния полезен товар на RAT, използвайки Process Hollowing.

Snip3 се предлага и с възможността да идентифицира sandbox среда и виртуална среда според Morphisec, което го прави особено способен да заобикаля анти-зловредни решения, насочени към откриване.

За да избегне откриването, зловредният софтуер използва допълнителни техники, включително

  • изпълнение на кода на PowerShell с параметъра ‘remotesigned’
  • използване на Pastebin и top4top за постановка
  • компилация на RunPE лоудъри на крайната точка по време на изпълнение

 

Snip3 attack flow

Организациите могат да използват примерни заявки, споделени от Microsoft за advanced hunting  с помощта на Microsoft 365 Defender, за да им помогнат да открият и разследват подобно подозрително поведение, свързано с тази текуща фишинг кампания.

 

 

Източник: e-security.bg

Подобни публикации

18 април 2025

Глобална компания за събития стана жертва на се...

Legends International, водещ доставчик на услуги за спортни, развле...
17 април 2025

Китайска APT група използва усъвършенстван бекд...

Нови версии на бекдора BrickStorm, използван при компрометирането н...
17 април 2025

Крис Кребс напуска SentinelOne заради войната с...

Бившият директор на Агенцията за киберсигурност и инфраструктурна с...
17 април 2025

Apple пусна спешни ъпдейти за iOS и macOS

На 17 април (сряда) Apple публикува извънредни ъпдейти за операцион...
17 април 2025

Starlink превзе интернет пазара в Нигерия, но н...

В началото на 2023 г. Нигерия стана първата африканска държава, в к...
16 април 2025

CISA гарантира непрекъсната работа на програмат...

Американската Агенция за киберсигурност и сигурност на инфраструкту...
16 април 2025

Програмата CVE може да остане без финансиране

На 16 април 2025 г. изтича финансирането от страна на федералното п...
16 април 2025

Рязък скок в компрометирането на лични данни: 1...

Според последни данни от Identity Theft Resource Center (ITRC), бро...
Бъдете социални
Още по темата
18/04/2025

Глобална компания за събити...

Legends International, водещ доставчик на услуги...
15/04/2025

Кибератаки: 56% от случаите...

В нов доклад на Sophos, фирма...
14/04/2025

Продават Firewall Zero-Day...

Точно в момента, в който Fortinet...
Последно добавени
18/04/2025

Глобална компания за събити...

Legends International, водещ доставчик на услуги...
17/04/2025

Китайска APT група използва...

Нови версии на бекдора BrickStorm, използван...
17/04/2025

Крис Кребс напуска Sentinel...

Бившият директор на Агенцията за киберсигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!