Новости MULTI#STORM: новая фишинговая кампания атакует пользователей из Индии и США

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Трояны удалённого доступа доставляются через JavaScript-файлы и скачивают дополнительные полезные нагрузки.


mlny0pqsylv70baf45i2hm92y8gge76u.png


Злоумышленники, ответственные за распространение новой фишинговой кампании под кодовым названием MULTI#STORM, нацелились на Индию и США, используя JavaScript -файлы для доставки троянов удаленного доступа ( RAT ), таких как Warzone RAT и Quasar RAT, на зараженные системы. Об этом Для просмотра ссылки Войди или Зарегистрируйся исследователи компании Securonix .

Многоэтапная цепочка атак начинается с того, что получатель электронной почты нажимает на встроенную в письмо ссылку, ведущую на защищенный паролем «12345» ZIP-файл («REQUEST.zip»), размещенный на Microsoft OneDrive.

После распаковки потенциальная жертва имеет дело с сильно обфусцированным JavaScript-файл («REQUEST.js»), который при двойном нажатии активирует заражение, выполняя две команды PowerShell , ведущие к извлечению двух отдельных полезных нагрузок с OneDrive и их последующему выполнению.

Первый из двух файлов — это поддельный PDF-документ, который отображается жертве, в то время как второй файл — исполняемый файл на основе Python — скрытно запускается в фоновом режиме.

Бинарный файл действует как дроппер для извлечения и запуска основной полезной нагрузки, упакованной внутри него в виде строк Base64 («Storm.exe»), но не раньше, чем установит постоянство в системе через изменение реестра Windows .

Также бинарным файлом декодируется второй ZIP-файл («files.zip»), который содержит четыре разных файла, каждый из которых предназначен для обхода контроля учетных записей пользователей ( UAC ) и повышения привилегий Windows путём создания поддельных доверенных каталогов.


1ciuptpgi0pkj0sm6d4i9ekirb7tym72.png


Цепочка заражения

Среди вредоносных файлов, обнаруженных в операции, также есть пакетный файл («check.bat»), про который специалисты Securonix говорят, что он имеет несколько общих черт с другим загрузчиком под названием DBatLoader, несмотря на разницу в используемом языке программирования.

Примечательно, что отдельный файл с именем «KDECO.bat» выполняет специальную команду PowerShell, чтобы приказать Microsoft Defender добавить правило исключения антивируса для пропуска каталога «C:\Users».

Атака завершается развёртыванием Warzone RAT (также известного как Ave Maria), распространяемого по модели MaaS за 38 долларов в месяц. Вредонос имеет обширный список функций для похищения конфиденциальных данных и загрузки дополнительного вредоносного ПО, такого, например, как Quasar RAT.

«Важно быть особенно бдительным по отношению к фишинговым электронным письмам, особенно когда в них подчёркивается срочность. Эта конкретная приманка не отличалась высокой скрытностью, так как требовала от пользователя выполнения JavaScript-файла напрямую. Однако ярлыки или файлы с двойными расширениями, вероятно, имели бы куда больший успех», — говорят исследователи.
 
Источник новости
www.securitylab.ru

Похожие темы