Microsoft предупреждава за продължаваща спиър фишинг кампания, насочена към авиокомпании и туристически организации чрез множество троянци за отдалечен достъп (RAT), внедрявани с помощта на нов мегод за зареждане.
„През последните няколко месеца Microsoft проследява динамична кампания, насочена към аерокосмическия и туристическия сектор с имейли за фишинг, които разпространяват активно разработен лоудър, който след това доставя RevengeRAT или AsyncRAT“, казва Microsoft.
Фишинг имейлите подвеждат легитимни организации и използват имитационни примамки, представящи се за PDF документи, съдържащи информация, свързана с няколко сектора на индустрията, включително авиацията, пътуванията и товарите.
Както Microsoft забеляза по време на проследяването на тази кампания, крайната цел на хакерската група е да събира и извлича данни от заразени устройства, използвайки възможностите за дистанционно управление, регистриране на ключове и кражба на пароли на RAT.
Веднъж внедрен, зловредният софтуер им позволява да „откраднат идентификационни данни, екранни снимки и данни от уебкамери, данни от браузър и клипборд, система и мрежа и най- често извеждат откраднатата информация чрез SMTP порт 587.“
Новооткритият лоудер, монетизиран по модел Crypter-as-a-Service, наречен Snip3, от анализаторите на злонамерен софтуер Morphisec, се използва за изпускане на полезния товар на Revenge RAT, AsyncRAT, Agent Tesla и NetWire RAT на компрометирани системи.
Връзките, които злоупотребяват с легитимни уеб услуги и са вградени в съобщенията за фишинг, изтеглят VBS файловете на първия етап VBScript, които изпълняват скрипт PowerShell на втория етап, който от своя страна изпълнява крайния полезен товар на RAT, използвайки Process Hollowing.
Snip3 се предлага и с възможността да идентифицира sandbox среда и виртуална среда според Morphisec, което го прави особено способен да заобикаля анти-зловредни решения, насочени към откриване.
За да избегне откриването, зловредният софтуер използва допълнителни техники, включително
Организациите могат да използват примерни заявки, споделени от Microsoft за advanced hunting с помощта на Microsoft 365 Defender, за да им помогнат да открият и разследват подобно подозрително поведение, свързано с тази текуща фишинг кампания.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.