26/08/24
Вредоносный код (получил название CURKON), спрятанный в LNK-файле, при запуске загружает поддельный документ и скачивает дополнительные файлы с C2-сервера, которые в конечном итоге активируют троян Lilith RAT. Троян написан на языке AutoIt и позволяет удаленно управлять зараженной системой, пишет Securitylab.
Хотя использование Lilith RAT ранее приписывалось северокорейской группе KONNI, TALON отметила различия в функциях и предположила, что атака была организована новой группой под названием puNK-003. Интересным моментом является то, что обе группы использовали одни и те же методы для загрузки файлов с захваченных серверов WordPress, что подтверждает связь между ними.
Вредоносное ПО, используемое puNK-003, было создано на базе уже существующего кода и переписано с помощью AutoIt. Этот факт может указывать на то, что обе группы, возможно, использовали одни и те же инструменты для преобразования кода или даже использовали ИИ для создания своих скриптов. Специалисты предупреждают, что при работе с файлами, полученными из внешних источников, следует быть особенно внимательными и проверять их тип перед запуском.
