Търсене
Close this search box.

Спиър фишинг атаки срещу азербайджански фирми

Имейл, представящ се за меморандум от президента на азербайджанска компания, крие зловреден софтуер зад изображения, за да проникне във фирми, свързани с компанията.

Според проучване на Fortinet имейлите се позовават на конфликта между Азербайджан и Армения и съдържат zip файл. Снимките в този файл са съдържали както истинско, така и зловредно съдържание.

Според Fortinet жертвите са били управленски екипи на предприятия, свързани с азербайджанската компания. Старши инженерът по сигурността на Fortinet Фред Гутиерес, който отказа да назове името на подправената фирма, казва, че сред другите предприятия, засегнати от кампанията, са били дъщерни дружества на компанията, както и нейни бизнес партньори.

Имейлът твърди, че съдържа информация за граничен сблъсък между войници от Азербайджан и Армения, и включва замаскирана връзка чрез контрабанда на HTML, която показва четири изображения, едно от които всъщност е LNK файл, който изтегля зловредния софтуер.

„Отварянето на имейла е достатъчно, за да започне веригата на заразяване“, казва Гутиерес. „Той автоматично ще изтегли zip файл, който съдържа изображенията, на компютъра на потребителя. Контрабандата на HTML изисква потребителят да извърши действие, за да бъде действително напълно заразен. В този случай потребителят ще трябва ръчно да въведе паролата, за да отвори zip файла, и след това да стартира съответния файл вътре.“

Паролата е включена в текста на електронното писмо, допълва той.

Контрабандата на HTML се извършва, когато JavaScript автоматично изтегля zip файл на компютъра на жертвата, след като имейлът бъде отворен; в този момент потребителят е уведомен, че zip файлът е изтеглен. Няма възможност за отказ или приемане на изтеглянето.

След като потребителят отвори изтегления zip файл и въведе парола, която отваря фалшивото изображение, се изтегля инсталаторът.

 

Какво е уникалното в зловредния софтуер?

Този зловреден софтуер е програмиран на все по-популярния език Rust.

Зловредният софтуер създава временен файл с име „24rp.xml“, който задава планирана задача за кражба на информация извън редовното работно време. Изследователите твърдят, че зловредният софтуер може да спи за произволно количество време, когато изпълнява задачите си. Тази техника предполага, че набелязаните цели оставят компютрите си включени през нощта, така че зловредният софтуер да може да се изпълнява извън редовното работно време, когато е по-малко вероятно да бъде забелязан.

Какво краде?

Зловредният софтуер събира основна компютърна информация и я изпраща на сървър за управление и контрол (C2). Гутиерес казва, че злонамереният софтуер търси само основна информация, включително привилегиите и разрешенията на жертвите, системната конфигурация, работещите приложения, мрежовата конфигурация и списък на потребителските акаунти.

„Характерът на информацията предполага, че това е или упражнение на червен екип, или, което е по-вероятно, следваща стъпка във фазата на разузнаване на целенасочена атака“, казва той.

За да се защитите от този тип атаки, Fortinet препоръчва да научите признаците на фишинга, независимо дали той идва под формата на имейл или уебстраница, като например при атаката Watering hole. Гутиерес също така препоръчва на потребителите да избягват отварянето на непознати файлове, да използват програми и услуги за борба със зловреден софтуер, както и да докладват за всякакви странни файлове на своите отдели за ИТ или мрежова сигурност.

За замаскираната връзка смекчаването на последиците не е толкова просто. Според страницата със съвети от MITRE този вид техника за атака не може да бъде лесно смекчена с превантивен контрол, тъй като се основава на злоупотреба със системни функции.

 

 

 

Източник: DARKReading

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!