Новости SocGholish: помощь науке обернулась шпионажем

NewsMaker

I'm just a script
Премиум
13,891
20
8 Ноя 2022
Как платформа BOINC перешла от научных вычислений к инструменту киберпреступности.


1lsot0khm0454ren1r27oyhy43hrijmi.jpg


Специалисты компании Huntress Для просмотра ссылки Войди или Зарегистрируйся что вредоносный JavaScript-загрузчик SocGholish используется для доставки трояна AsyncRAT с помощью открытого проекта для вычислений BOINC .

BOINC (Berkeley Open Infrastructure Network Computing Client) — это Для просмотра ссылки Войди или Зарегистрируйся для «добровольных вычислений», поддерживаемая Калифорнийским университетом в Беркли для проведения высокопроизводительных вычислений в научных проектах с помощью домашних компьютеров добровольцев, на которых установлено соответствующее приложение. По своей сути BOINC похож на криптомайнер – платформа использует компьютерные ресурсы для работы и вознаграждает пользователей криптовалютой Для просмотра ссылки Войди или Зарегистрируйся разработанной специально для этой цели.

В обнаруженной кампании вредоносные установки BOINC настроены на подключение к доменам злоумышленника (rosettahome[.]cn и rosettahome[.]top), которые служат C2 -серверами для сбора данных хоста, передачи полезных нагрузок и отправки дальнейших команд. По состоянию на 15 июля к двум доменам подключено 10 032 клиента.


hnnzrzk3sa25uuje8f6l0sib32ehcw38.png


Хосты, подключенные к вредоносному серверу BOINC, показанные на сайте администратора сервера

Хотя специалисты не наблюдали никакой последующей активности на зараженных хостах, предполагается, что подключения могут быть проданы другим злоумышленникам, что создаёт возможность для использования хостов в качестве начальных точек для внедрения программ-вымогателей.

Типичная последовательность атак SocGholish начинается с того, что пользователи заходят на взломанные веб-сайты, где предлагается скачать поддельное обновление браузера. После запуска «обновления» вредоносное ПО загружает дополнительные компоненты на зараженные машины.

В данном случае загрузчик JavaScript активирует две отдельные цепочки: одна приводит к установке бесфайловой версии (Fileless malware) AsyncRAT, а другая — к установке BOINC. Приложение BOINC маскируется под «SecurityHealthService.exe» или «trustedinstaller.exe» для избегания обнаружения и сохраняет своё присутствие с помощью запланированной задачи. Проект BOINC уже заметил использование своей платформы в злонамеренных целях и активно Для просмотра ссылки Войди или Зарегистрируйся проблему. Случаи злоупотребления зафиксированы с 26 июня 2024 года.


rsppdehsgqvlg0ewh0gcpdxeuesjr7d0.png


Цепочка заражения

AsyncRAT имеет множество функций, таких как регистрация нажатий клавиш, запись аудио/видео, кража информации, удаленное управление рабочим столом, восстановление паролей, запуск удаленной оболочки, доставка полезной нагрузки и другие.

Активные подключения зараженных клиентов к вредоносным серверам BOINC представляют собой значительный риск. Злоумышленники могут использовать подключения для выполнения любых команд или установки вредоносного ПО, что может привести к эскалации привилегий или распространению по сети и компрометации всего домена.
 
Источник новости
www.securitylab.ru

Похожие темы