- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 2ч 13м
- Сделки
- 251
- Нарушения
- 0 / 0
Представители Morphisec заявили, что вредоносная кампания изначально была связана с финансово мотивированной киберпреступной операцией, которую исследователи Zscaler назвали «Ducktail». Однако компания WithSecure, которая впервые задокументировала кластер активности Ducktail в июле 2022 года, заявила, что вредоносные кампании отличаются друг от друга. Эта путаница указывает на то, как злоумышленникам удалось сбить с толку экспертов кибербезопасности и избежать обнаружения.«Угрозы, стоящие за этой кампанией, нацелены на бизнес-аккаунты Facebook. Они используют Google Ads и поддельные профили Facebook, которые рекламируют игры, контент для взрослых, взломанное программное обеспечение и т.д., чтобы заманить жертв к загрузке вредоносного файла. Атаки направлены на кражу конфиденциальной информации, включая данные для входа в систему, cookie-файлы и информацию о бизнес-аккаунтах», — говорится в отчёте компании Morphisec.
Цепочка атак, согласно Morphisec, начинается тогда, когда жертва переходит по ссылке из поддельного профиля Facebook или рекламы Google Ads, чтобы загрузить ZIP-архив, замаскированный под взломанное программное обеспечение или контент для взрослых.
Открытие ZIP-файла запускает загрузчик на основе легитимного приложения C#, которое уязвимо для DLL Sideloading, что позволяет загрузить вредоносный DLL-файл вместе с приложением.
Некоторыми приложениями, используемыми для загрузки мошеннической DLL, являются WDSyncService.exe от Western Digital и ElevatedInstaller.exe от Garmin. В некоторых случаях загруженная неопубликованная DLL-библиотека действует как средство для развертывания промежуточных исполняемых файлов на основе Python и Rust. Независимо от используемого подхода, все пути ведут к доставке установщика, который доставляет и запускает вредоносное ПО SYS01stealer на основе PHP.
Инфостилер разработан для сбора cookie-файлов Facebook из веб-браузеров на основе Chromium, эксфильтрации информации Facebook жертвы на удаленный сервер, а также загрузки и запуска произвольных файлов. Вредонос также может загружать файлы с зараженного хоста на C2-сервер, выполнять его команды и обновлять себя при наличии свежей версии.
DLL Sideloading — это очень эффективный способ заставить системы Windows загружать вредоносный код. Когда приложение загружается в память, оно скачивает вредоносный файл вместо легитимного, позволяя злоумышленникам захватывать законные, надежные и даже подписанные приложения в своих зловредных целях», — сообщили специалисты Morphisec.