Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Хакеры заражают устройства своих жертв сразу двумя троянами удалённого доступа

11/08/23

Rust-logo-nocdn

Киберпреступники задействовали новую цепочку атак для развёртывания вредоносного ПО «XWorm» и «Remcos RAT» при помощи легитимного Rust-инжектора «Freeze.rs». Вредоносная операция была раскрыта специалистами FortiGuard Labs 13 июля 2023 года.

Атака начинается с фишингового письма, содержащего вредоносный PDF-файл. После запуска этот файл перенаправляет жертву на HTML-файл и использует протокол «search-ms» для доступа к LNK-файлу (по сути, обычному ярлыку с прописанным параметром запуска) на удалённом сервере, пояснили специалисты. При запуске вредоносного ярлыка выполняется сценарий PowerShell, который запускает инжекторы Freeze.rs и SYK Crypter для дальнейших вредоносных действий.

Выпущенный в мае этого года Freeze.rs — это легитимный хакерский инструмент для обхода средств защиты и незаметного выполнения шелл-кода, доступный для скачивания на GitHub.

SYK Crypter, в свою очередь, применяется для распространения различных вредоносных программ, таких как AsyncRAT, NanoCore RAT, njRAT, QuasarRAT, RedLine Stealer и Warzone RAT (также известный как Ave Maria). SYK Crypter загружается через .NET-загрузчик, прикрепляемый к электронным письмам, которые маскируются под безобидные заказы на покупку.

На заключительном этапе расшифрованный шелл-код выполняет троянскую программу удалённого доступа XWorm и собирает конфиденциальные данные, такие как информация о компьютере, скриншоты и нажатия клавиш, а также удалённо управляет скомпрометированным устройством. Кроме того, параллельно с XWorm, видимо для расширения вредоносных возможностей, на компьютере жертвы запускается и другой троян удалённого доступа — Remcos RAT.

Стоит отметить, что совсем недавно компания Trellix выявила похожие последовательности заражения с HTML и PDF-вложениями, которые запускают процесс поиска на контролируемом злоумышленником сервере, а затем отображают вредоносные файлы в проводнике Windows как локальные результаты поиска. Об этой весьма любопытной вредоносной операции мы рассказывали пару недель назад.

Выводы исследователей FortiGuard аналогичны: файлы маскируются под PDF, но на самом деле являются вредоносными ярлыками, которые выполняют PowerShell- сценарий для запуска инжектора на Rust, показывая при этом подставной PDF-документ для отвода подозрений.

«Комбинация XWorm и Remcos RAT создаёт грозную угрозу с массой вредоносных функций», — считают исследователи. «Отчёт о трафике C2-сервера злоумышленников показывает, что основными целями этой вредоносной кампании являются Европа и Северная Америка».

Тот факт, что довольно новый хакерский инструмент Freeze.rs, вышедший всего 3 месяца назад, уже используется в реальных атаках, символизирует быстрое принятие решений злоумышленниками, которые не хотят упускать возможность вооружиться новыми эффективными инструментами для достижения своих целей.

Темы:УгрозыFortiGuardRUSTRAT-трояны
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...