Контакты
Подписка 2024
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита инфраструктуры и данных от современных угроз
Регистрируйтесь на онлайн-конференцию!

Новые кампании распортсраняют вредоносные команды PowerShell под видом технической поддержки

21/06/24

1140-alert-popup-windows

Главным образом схема используется для заражения систем под управлением Windows. Злоумышленники используют поддельные уведомления об ошибках в популярных программах вроде Google Chrome, Microsoft Word и OneDrive. Когда пользователь посещает взломанный, но на первый взгляд легитимный веб-сайт, в его браузере появляется окно с уведомлением о возникшей проблеме.

Жертву просят нажать кнопку "исправить" и вставить отображаемый код в терминал PowerShell или диалоговое окно "Выполнить" в Windows, пишет Securitylab.

Исследователи из Proofpoint выявили по крайней мере две преступные группировки, использующие этот метод атак. Одна из них, вероятно, распространяет вымогательское ПО.

По данным Proofpoint, группировка под названием TA571 использовала этот метод с 1 марта, а группа, стоящая за кампанией ClearFake, применяла его с начала апреля. Обе оставались активными в начале июня. Третья кампания, ClearFix, также протестировала этот вектор атаки с мая.

В ходе атак злоумышленники внедряют на легитимные сайты вредоносный скрипт, который размещается на блокчейне через смарт-контракты Binance Smart Chain (это называется EtherHiding). Затем этот сценарий загружает в браузере жертвы фальшивое предупреждающее окно, побуждающее установить "корневой сертификат" для решения вымышленной проблемы.

Сообщение содержит инструкции по копированию скрипта PowerShell и последующему ручному запуску на компьютере. Программа очищает кэш DNS, удаляет содержимое буфера обмена, отображает ложное сообщение и затем загружает и запускает еще один удаленный сценарий.

Удаленный скрипт выполняет серию проверок Windows Management Instrumentation, а затем устанавливает вредонос Lumma Stealer. Он, в свою очередь, загружает три вредоносных файла: Amadey Loader, загрузчик майнера криптовалюты XMRig с определенной конфигурацией и похитителя буферов обмена криптовалют, подменяющего адреса кошельков на адреса, контролируемые злоумышленниками.

В некоторых случаях Amadey Loader устанавливает другие вредоносные программы, включая Go, который, по мнению Proofpoint, является вредоносом JaskaGo, способным работать под управлением Windows и macOS.

В ходе кампании ClearFix использовалась аналогичная тактика. Преступники демонстрировали в браузере ложное сообщение об ошибке Google Chrome, вынуждали жертв открыть PowerShell и вставить вредоносный код. Это приводило к загрузке и запуску инфостилера Vidar Stealer.

В третьей кампании, организованной группировкой TA571, киберпреступники разослали более 100 000 фишинговых писем организациям по всему миру. Послания содержали вредоносное HTML-вложение, замаскированное под страницу Microsoft Word.

При открытии вложения жертва видела ложное сообщение о несуществующей проблеме с предупреждением, что якобы "расширение Word Online не установлено". Письмо предлагало две опции: "Как исправить" и "Автоисправление". При выборе "Как исправить" в буфер обмена компьютера копировалась зашифрованная в Base64 команда PowerShell с инструкцией открыть консоль PowerShell и щелкнуть правой кнопкой мыши для ее запуска.
А при нажатии "Автоисправление" через протокол search-ms загружался вредоносный файл "fix.msi" или "fix.vbs" с сервера злоумышленников, размещенного на WebDAV.

Если жертва запускала файл MSI, то устанавливался загрузчик Matanbuchus. А если файл VBS, то загружался и запускался вредоносный код DarkGate.

В Proofpoint предупреждают, что TA571 постоянно меняет фишинговые приманки и модифицирует цепочки своих атак.

Темы:УгрозыМошенничествоPowershellProofpointтехподдержка
NGFW
24 июля. Отечественные ИT-платформы и ПО для объектов КИИ: готовность предприятий к 01 января 2025
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...