MoonPeak RAT използва LNK файлове за атаки срещу криптоинвеститори

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Нова зловредна кампания, насочена към потребители на Windows, използва подвеждащи LNK shortcut файлове за разпространение на MoonPeak – опасен remote access trojan (RAT), считан за вариант на XenoRAT. Анализите свързват атаката с групи, асоциирани със Северна Корея, като основните цели са инвеститори и криптотрейдъри.

Целева аудитория и метод на атака

Кампанията разчита на социално инженерство чрез файлове, маскирани като легитимни PDF документи, съдържащи инвестиционни и трейдинг стратегии. Файловете носят корейски имена и създават усещане за автентично финансово съдържание.

При отваряне на LNK файла:

  • се стартира зловредна верига от действия;

  • паралелно се показва фалшив PDF документ;

  • зловредният код се изпълнява незабелязано за потребителя.

Скритата инфекционна верига

LNK файлът съдържа XOR-кодиран PDF, който се отваря нормално, докато във фонов режим се изпълнява силно обфускиран PowerShell скрипт.

Етап 1: Anti-analysis проверки

Преди изпълнение зловредният код проверява за наличие на:

  • виртуални среди;

  • инструменти за анализ като IDA Pro, Wireshark и OllyDbg;

  • sandbox индикатори.

При засичане на анализ, изпълнението се прекратява незабавно.

Многоетапна инфекция и устойчивост

Етап 2: Fileless изпълнение

  • Създават се временни файлове и директории с произволни имена;

  • Изтегля се GZIP-компресиран payload от GitHub;

  • Payload-ът се зарежда директно в паметта без запис на диск.

Етап 3: Пълен контрол

  • Създава се Scheduled Task за автоматично стартиране;

  • Инсталира се MoonPeak RAT, обфускиран с ConfuserEx;

  • Установява се връзка с C2 сървър на адрес 27.102.137[.]88:443.

Злоупотреба с доверени платформи

Инфраструктурата на атаката използва GitHub хранилища за хостване на зловредни компоненти. Тази техника, известна като Living Off Trusted Sites (LOTS), позволява заобикаляне на защитни механизми чрез използване на легитимни платформи.

MoonPeak демонстрира еволюцията на съвременните киберзаплахи, комбинирайки социално инженерство, fileless техники и злоупотреба с доверени услуги. Ограничаването на LNK файлове, мониторингът на PowerShell активности и използването на EDR решения са критични мерки за защита.

#LNK файлове, # MoonPeak, # XenoRAT, # криптокибератаки, # севернокорейски хакери
e-security.bg

Подобни

Държавни хакери използват Gemini на Google
12.02.2026
google-gemini
SSHStalker - нов Linux ботнет възражда IRC като C2 механизъм
12.02.2026
u_z3u7n7e7-penguins-5414467_640
LummaStealer се завръща с нова сила чрез CastleLoader
12.02.2026
stealer
Атаката DeadVax: изключително сложна фишинг кампания
9.02.2026
malware-phishing-header
APT28 използва нова уязвимост в Microsoft Office за кампания срещу Европа
9.02.2026
spying-4270361_640
Shadow Campaigns: Глобална операция с ясен геополитически фокус
9.02.2026
Cyberattack_b

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.