_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BD%D0%BE.png){kind=spacer}
Мошенники, преследующие финансовые цели, атакуют немецко- и
польскоязычных пользователей с помощью вредоносного ПО для кражи информации и
TorNet — ранее недокументированного бэкдора .NET, который использует сеть Tor
для обхода обнаружения.
Фишинговое письмо
Злоумышленники рассылают по электронной почте поддельные
подтверждения денежных переводов и квитанции о заказах, якобы отправленные от
известных компаний. Письма содержат вредоносное вложение: файл TGZ (архивный
файл, сжатый с помощью GZIP).
«Фишинговые письма в основном написаны на польском и
немецком языках, что указывает на намерение злоумышленников в первую очередь
нацелиться на пользователей в этих странах. Мы также обнаружили несколько
образцов фишинговых писем из той же кампании, написанных на английском языке»,
— поделились исследователи Cisco Talos.
Судя по всему, кампания действует с июля 2024 года.
Удаленное вредоносное ПО
Пользователи, загружающие вложение и распаковывающие его,
запускают исполняемый файл .NET, который загружает и запускает PureCrypter —
популярный загрузчик вредоносных программ.
_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BD%D0%BE.png){kind=spacer}
PureCrypter используется для загрузки одного или нескольких
дополнительных вредоносных программ:
Agent Tesla — троян удаленного доступа (RAT) и похититель
данных
Snake Keylogger — кейлоггер для кражи учетных данных
TorNet — никогда ранее не документированный бэкдор
Исследователи обнаружили, что PureCrypter использует хитрый
метод, чтобы не дать облачным антивирусным программам обнаружить дополнительное
вредоносное ПО, которое они загружают: он приказывает целевой машине «сбросить»
текущий назначенный DHCP IP-адрес, а затем приказывает ей обновить IP-адрес, как
только вредоносная программа будет запущена и запустится.
PureCrypter также выполняет проверки на отладку, анализ,
виртуальную машину и вредоносное ПО перед запуском и использует несколько
методов сохранения.
_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BD%D0%BE.png){kind=spacer}
С точки зрения возможностей, Agent Tesla и Snake Keylogger
являются известными величинами. С другой стороны, было обнаружено, что бэкдор
TorNet способен подключать машину жертвы к сети TOR и устанавливать анонимное
соединение с сервером C2.
«[TorNet] также имеет возможность получать и запускать произвольные
сборки .NET в памяти компьютера-жертвы, загруженные с сервера C2, что
увеличивает поверхность атаки для дальнейших вторжений», — обнаружили
исследователи.
Cisco Talos поделилась
индикаторами компрометации, связанными с этой кампанией, которые могут быть
полезны для финансовых учреждений, а также производственных и логистических
компаний.
Комментариев нет:
Отправить комментарий