20/05/22
Эксперты из Morphisec заметили , что злоумышленники стали намного лучше пользоваться сетью доставки контента (CDN) Discord в цепочках атак. В одной из новых хакерских кампаний CDN Discord используется для загрузки данных SYK Crypter.
Вредоносная компания, которую обнаружила Morphisec, началась с рассылки целевых фишинговых писем, направленных различным организациям. Чтобы заставить потенциальных жертв открыть вложение, злоумышленники маскировали вредоносное ПО под заказы на покупку, называя файлы именами New_Order_*[.]exe, AMAZON_ORDER*PDF[.]exe и Purchase Order[.]exe.
Изучив файлы, специалисты смогли воссоздать цепочку атак и выделить два основных компонента: загрузчик .NET (DNetLoader) и криптор .NET (SYK Crypter). SYK может распространять множество вредоносных программ, включая WarzoneRAT, AsyncRAT, QuasarRAT, NanoCore RAT, RedLine Stealer и njRAT.
По словам экспертов, после открытия вложения запускается DNetLoader, загружающий данные SYK с CDN Discord. После загрузки криптор начинает развертываться в системе жертвы и распространять вредоносное ПО.
Чтобы не давать хакерам возможность загружать данные вредоносов с серверов Discord, специалисты рекомендуют площадке принять архитектуру нулевого доверия вместо использования статических решений для борьбы с вредоносным ПО, основанных на известных моделях поведения или сигнатурах.
Не так давно Securitylab писал про конструктор вредоносного ПО, который разработчик рекламировал в Discord. Первый образец программы, созданной в конструкторе, собирал и отправлял учетные данные жертв на вебхуки Discord.
