Новости Agent Tesla, Formbook и Remcos RAT атакуют европейский бизнес

NewsMaker

I'm just a script
Премиум
13,852
20
8 Ноя 2022
ESET раскрывает детали новой волны кибератак сразу на 3 страны.


j4fr89r2v3bmcc88ughen6vsd72342f4.jpg


В мае ESET Для просмотра ссылки Войди или Зарегистрируйся масштабные фишинговые кампании, направленные на малый и средний бизнес в Польше, Италии и Румынии. В результате атак на устройства жертв были установлены несколько вредоносных программ – Agent Tesla , Formbook и Remcos RAT.

Злоумышленники использовали уже скомпрометированные почтовые аккаунты и серверы компаний для распространения вредоносных писем, а также для размещения и сбора украденных данных. Кампания включала 9 волн атак, в которых использовался загрузчик вредоносного ПО DBatLoader (ModiLoader и NatsoLoader) для доставки вредоносных программ.


xr07rs514jxtybgg7a9uxs4vfkkco558.png


Цепочка заражения

Начальная точка атак заключалась в фишинговых письмах с вложениями в формате RAR или ISO, содержащими вредоносные файлы. При открытии вложений запускался многоступенчатый процесс загрузки и активации троянских программ.

В случаях с вложением ISO-файлов, содержимым был исполняемый файл ModiLoader (названный так же или совпадающим с названием самого ISO-файла), который запускался при открытии исполняемого файла.

В случаях с вложением RAR-файлов, содержимое архивов представляло собой сильно запутанный пакетный скрипт (с тем же именем, что и архив) с расширением «.cmd». Файл также содержал исполняемый файл ModiLoader в кодировке Base64, замаскированный под список отзыва PEM-сертификатов. Batch-скрипт отвечает за декодирование и запуск встроенного ModiLoader.


58kv2rsq4etkyiqew84u9enns785gja6.png


CMD-файл содержит обфусцированный пакетный скрипт, который декодирует двоичный файл ModiLoader в кодировке Base64

DBatLoader, разработанный на базе Delphi, предназначен для загрузки и запуска вредоносного ПО следующего этапа с Microsoft OneDrive или с скомпрометированных серверов компаний. Независимо от типа установленного вредоносного ПО, Agent Tesla, Formbook и Remcos RAT обладают возможностями кражи конфиденциальной информации, в том числи из браузеров и почтовых клиентов, что позволяет злоумышленникам подготовить почву для последующих атак.
 
Источник новости
www.securitylab.ru

Похожие темы