Имейл, представящ се за меморандум от президента на азербайджанска компания, крие зловреден софтуер зад изображения, за да проникне във фирми, свързани с компанията.
Според проучване на Fortinet имейлите се позовават на конфликта между Азербайджан и Армения и съдържат zip файл. Снимките в този файл са съдържали както истинско, така и зловредно съдържание.
Според Fortinet жертвите са били управленски екипи на предприятия, свързани с азербайджанската компания. Старши инженерът по сигурността на Fortinet Фред Гутиерес, който отказа да назове името на подправената фирма, казва, че сред другите предприятия, засегнати от кампанията, са били дъщерни дружества на компанията, както и нейни бизнес партньори.
Имейлът твърди, че съдържа информация за граничен сблъсък между войници от Азербайджан и Армения, и включва замаскирана връзка чрез контрабанда на HTML, която показва четири изображения, едно от които всъщност е LNK файл, който изтегля зловредния софтуер.
„Отварянето на имейла е достатъчно, за да започне веригата на заразяване“, казва Гутиерес. „Той автоматично ще изтегли zip файл, който съдържа изображенията, на компютъра на потребителя. Контрабандата на HTML изисква потребителят да извърши действие, за да бъде действително напълно заразен. В този случай потребителят ще трябва ръчно да въведе паролата, за да отвори zip файла, и след това да стартира съответния файл вътре.“
Паролата е включена в текста на електронното писмо, допълва той.
Контрабандата на HTML се извършва, когато JavaScript автоматично изтегля zip файл на компютъра на жертвата, след като имейлът бъде отворен; в този момент потребителят е уведомен, че zip файлът е изтеглен. Няма възможност за отказ или приемане на изтеглянето.
След като потребителят отвори изтегления zip файл и въведе парола, която отваря фалшивото изображение, се изтегля инсталаторът.
Този зловреден софтуер е програмиран на все по-популярния език Rust.
Зловредният софтуер създава временен файл с име „24rp.xml“, който задава планирана задача за кражба на информация извън редовното работно време. Изследователите твърдят, че зловредният софтуер може да спи за произволно количество време, когато изпълнява задачите си. Тази техника предполага, че набелязаните цели оставят компютрите си включени през нощта, така че зловредният софтуер да може да се изпълнява извън редовното работно време, когато е по-малко вероятно да бъде забелязан.
Зловредният софтуер събира основна компютърна информация и я изпраща на сървър за управление и контрол (C2). Гутиерес казва, че злонамереният софтуер търси само основна информация, включително привилегиите и разрешенията на жертвите, системната конфигурация, работещите приложения, мрежовата конфигурация и списък на потребителските акаунти.
„Характерът на информацията предполага, че това е или упражнение на червен екип, или, което е по-вероятно, следваща стъпка във фазата на разузнаване на целенасочена атака“, казва той.
За да се защитите от този тип атаки, Fortinet препоръчва да научите признаците на фишинга, независимо дали той идва под формата на имейл или уебстраница, като например при атаката Watering hole. Гутиерес също така препоръчва на потребителите да избягват отварянето на непознати файлове, да използват програми и услуги за борба със зловреден софтуер, както и да докладват за всякакви странни файлове на своите отдели за ИТ или мрежова сигурност.
За замаскираната връзка смекчаването на последиците не е толкова просто. Според страницата със съвети от MITRE този вид техника за атака не може да бъде лесно смекчена с превантивен контрол, тъй като се основава на злоупотреба със системни функции.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.