Новости 2FA от такого не спасет: киберпреступники атакуют индийских чиновников

NewsMaker

I'm just a script
Премиум
13,896
20
8 Ноя 2022

Целью хакеров стало приложение Kavach, используемое для двухфакторной аутентификации.​


s6y2qu1zoseuzfdae1rtu6p0ue1p1cat.jpg


Исследователи из Securonix Для просмотра ссылки Войди или Зарегистрируйся эту фишинговую кампанию STEPPY#KAVACH, приписав ее хакерской группировке SideCopy, так как подобные тактики и методы использовались только этими киберпреступниками в ходе предыдущих атак.

SideCopy – это предположительно пакистанская хакерская группировка, действующая с 2019. Известно, что она иногда пытается выдавать свои атаки за атаки SideWinder.

Последний сценарий атак, описанный Securonix, предполагает использование фишинговых писем, чтобы потенциальная жертва открыла LNK-файл для выполнения полезной нагрузки в формате HTA с помощью утилиты mshta.exe. По словам специалистов, HTML-приложение было обнаружено на взломанном сайте, вложенном в каталог gallery, который предназначен для хранения изображений на сайте.

Взломанный сайт – incometaxdelhi[.]org, официальный сайт Департамента подоходного налога Дели.

На следующем этапе запуск HTA-файла приводит к выполнению обфусцированного JavaScript-кода, который создает обманку – изображение, содержащее объявление Министерства обороны Индии, сделанное год назад, в декабре 2021 года. Затем JS-код загружает исполняемый файл с удаленного сервера, закрепляется в системе с помощью изменений в реестре Windows и перезагружает компьютер, чтобы автоматически запустить двоичный файл после запуска.

Этот файл функционирует как бэкдор и позволяет хакеру выполнять команды с контролируемого злоумышленниками домена, получать и запускать дополнительные полезные нагрузки, делать скриншоты и похищать файлы.

Кроме того, бэкдор дает злоумышленнику возможность поиск файлов базы данных (kavach.db), созданного приложением Kavach в системе для хранения учетных данных.
 
Источник новости
www.securitylab.ru

Похожие темы