04/09/19
В рамках недавней вредоносной кампании преступники распространяли новый вариант вредоносного ПО Astaroth. Для избежания обнаружения антивирусным ПО злоумышленники воспользовались платформой Cloudflare Workers.
Cloudflare Workers является набором скриптов, запущенных на серверах Cloudflare. Они расположены в дата-центрах 90 стран и 193 городов. Платформа позволяет запустить любой код JavaScript без необходимости поддерживать инфраструктуру.
Cloudflare Workers в ходе вредоносной кампании преступников играет роль одной из частей атаки. Злоумышленники отправляют фишинговое письмо, замаскированное под обычный опрос, с прикрепленным вложением в формате HTML. Вложение содержит обфусцированный код JavaScript, связанный с доменом в инфраструктуре Cloudflare. Данный домен используется для доставки вредоносной нагрузки нескольких видов в формате JSON. Для избежания блокировки преступники могут быстро менять вредоносные файлы.
Для реализации второй ступени атаки JSON парсится из URL, конвертируется из Base64 в Array, переименовывается для соответствия имени HTML-файла. Далее формируется специальная ссылка автоматического перехода, которая запускает загрузку вредоноса на компьютер пользователя.
В рамках третьего этапа используется загрузка вредоносной DLL-библиотеки, которая управляется аккаунтами злоумышленников в сервисах YouTube и Facebook. Аккаунты в данном случае играют роль C&C-сервера.
