Търсене
Close this search box.

Имейл, представящ се за меморандум от президента на азербайджанска компания, крие зловреден софтуер зад изображения, за да проникне във фирми, свързани с компанията.

Според проучване на Fortinet имейлите се позовават на конфликта между Азербайджан и Армения и съдържат zip файл. Снимките в този файл са съдържали както истинско, така и зловредно съдържание.

Според Fortinet жертвите са били управленски екипи на предприятия, свързани с азербайджанската компания. Старши инженерът по сигурността на Fortinet Фред Гутиерес, който отказа да назове името на подправената фирма, казва, че сред другите предприятия, засегнати от кампанията, са били дъщерни дружества на компанията, както и нейни бизнес партньори.

Имейлът твърди, че съдържа информация за граничен сблъсък между войници от Азербайджан и Армения, и включва замаскирана връзка чрез контрабанда на HTML, която показва четири изображения, едно от които всъщност е LNK файл, който изтегля зловредния софтуер.

„Отварянето на имейла е достатъчно, за да започне веригата на заразяване“, казва Гутиерес. „Той автоматично ще изтегли zip файл, който съдържа изображенията, на компютъра на потребителя. Контрабандата на HTML изисква потребителят да извърши действие, за да бъде действително напълно заразен. В този случай потребителят ще трябва ръчно да въведе паролата, за да отвори zip файла, и след това да стартира съответния файл вътре.“

Паролата е включена в текста на електронното писмо, допълва той.

Контрабандата на HTML се извършва, когато JavaScript автоматично изтегля zip файл на компютъра на жертвата, след като имейлът бъде отворен; в този момент потребителят е уведомен, че zip файлът е изтеглен. Няма възможност за отказ или приемане на изтеглянето.

След като потребителят отвори изтегления zip файл и въведе парола, която отваря фалшивото изображение, се изтегля инсталаторът.

 

Какво е уникалното в зловредния софтуер?

Този зловреден софтуер е програмиран на все по-популярния език Rust.

Зловредният софтуер създава временен файл с име „24rp.xml“, който задава планирана задача за кражба на информация извън редовното работно време. Изследователите твърдят, че зловредният софтуер може да спи за произволно количество време, когато изпълнява задачите си. Тази техника предполага, че набелязаните цели оставят компютрите си включени през нощта, така че зловредният софтуер да може да се изпълнява извън редовното работно време, когато е по-малко вероятно да бъде забелязан.

Какво краде?

Зловредният софтуер събира основна компютърна информация и я изпраща на сървър за управление и контрол (C2). Гутиерес казва, че злонамереният софтуер търси само основна информация, включително привилегиите и разрешенията на жертвите, системната конфигурация, работещите приложения, мрежовата конфигурация и списък на потребителските акаунти.

„Характерът на информацията предполага, че това е или упражнение на червен екип, или, което е по-вероятно, следваща стъпка във фазата на разузнаване на целенасочена атака“, казва той.

За да се защитите от този тип атаки, Fortinet препоръчва да научите признаците на фишинга, независимо дали той идва под формата на имейл или уебстраница, като например при атаката Watering hole. Гутиерес също така препоръчва на потребителите да избягват отварянето на непознати файлове, да използват програми и услуги за борба със зловреден софтуер, както и да докладват за всякакви странни файлове на своите отдели за ИТ или мрежова сигурност.

За замаскираната връзка смекчаването на последиците не е толкова просто. Според страницата със съвети от MITRE този вид техника за атака не може да бъде лесно смекчена с превантивен контрол, тъй като се основава на злоупотреба със системни функции.

 

 

 

Източник: DARKReading

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
Бъдете социални
Още по темата
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
11/12/2024

BadRAM пробива защитите на ...

Академични изследователи са разработили нова атака,...
11/12/2024

Кибератака поставя Krispy K...

Веригата за продажба на понички и...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!