Новости Роскошное авто или троян? Хакеры из APT28 играют на ваших желаниях

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Случайный клик по объявлению рискует обернуться атакой HeadLace.


17nxta2gwaertg7980karjdrwrvvyl36.jpg


Хакерская группа APT28 недавно начала новую кампанию по распространению вредоносного ПО HeadLace через поддельное объявление о продаже автомобиля. Кампания началась в марте 2024 года и, вероятно, нацелена на дипломатов.

Эта тактика не нова для киберпреступников. Уже несколько лет они используют фальшивые объявления о продаже люксовых автомобилей для привлечения внимания жертв и внедрения вредоносного кода.


9r13klzp2ouwctuoxxait4bb71014jwb.png


Поддельное объявление

Для просмотра ссылки Войди или Зарегистрируйся специалистов Unit 42 , в ходе последней кампании, связанной с APT28, для размещения вредоносных файлов и ссылок использовались публичные и бесплатные сервисы. Так, подозрительная ссылка была размещена на легальном сервисе Webhook[.]site и отправлена на VirusTotal 14 марта 2024 года. Этот сервис позволяет создавать рандомизированные URL для различных целей, что было использовано хакерами для распространения вредоносного HTML -документа.

При посещении этой ссылки алгоритмы на странице проверяют, использует ли компьютер операционную систему Windows. Если нет, пользователь перенаправляется на поддельное изображение, размещённое на бесплатном сервисе ImgBB. Однако в случае с Windows, HTML-документ создаёт ZIP-архив, содержащий вредоносные файлы, и предлагает его для скачивания.

Фальшивое объявление о продаже автомобиля (Audi Q7 Quattro) содержит контактные данные и информацию о продавце, якобы находящемся в Румынии, что должно придать ему правдоподобности. Тем не менее, все эти данные фиктивны и служат только для привлечения внимания жертв.

Скачанный архив «IMG-387470302099.zip» содержит три файла, один из которых замаскирован под изображение, но на самом деле является исполняемым файлом, содержащим копию легитимного калькулятора из Windows «calc.exe». Этот файл используется для загрузки вредоносной DLL-библиотеки «WindowsCodecs.dll», которая, в свою очередь, запускает файл «zqtxmo.bat», завершающий цепочку заражения.

APT28 активно использует бесплатные легитимные сервисы для размещения элементов атаки, что усложняет их обнаружение. Методы, использованные в этой кампании, соответствуют ранее задокументированным атакам этой группы, а вредоносное ПО HeadLace эксклюзивно связано с данной группой.

Чтобы защититься от подобных атак, рекомендуется ограничить доступ к популярным среди хакеров сервисам или же просто тщательно проверять их использование. Организации должны внимательно следить за бесплатными сетевыми ресурсами, чтобы оперативно выявлять возможные векторы атак.
 
Источник новости
www.securitylab.ru

Похожие темы