14/03/24
Лаборатория FortiGuard Labs компании Fortinet обнаружила новую фишинговую кампанию под названием Vcurms. Злоумышленники, стоящие за разработкой этого ПО, используют электронную почту в качестве командного центра, а также публичные сервисы, такие как AWS и GitHub, для хранения вредоносного кода.
Кампания в первую очередь нацелена на платформы с установленной Java, представляя угрозу для любой организации, использующей такие системы. Успешное внедрение предоставляет злоумышленникам полный контроль над скомпрометированными сетями.
Пользователь должен скачать вредоносный Java-загрузчик, который служит вектором для распространения самого Vcurms и трояна STRRAT. Вредоносные письма обычно маскируются под легитимные запросы с призывами проверить платежную информацию и загрузить файлы, размещенные на AWS.
После установки вредонос применяет классические фишинговые техники, в том числе поддельные имена и зашифрованные строки, для сокрытия своей вредоносной природы. Особо примечательно, что софт использует класс "DownloadAndExecuteJarFiles.class" для загрузки и выполнения дополнительных JAR-файлов, расширяя возможности злоумышленников.
Компонент Vcurms в виде удаленной программы-трояна (RAT) связывается с командным центром через электронную почту, демонстрируя высокий уровень технической изощренности. Она обеспечивает персистентность, копируя себя в папку автозагрузки, идентифицирует и отслеживает жертв с помощью кейлоггинга и функции восстановления паролей.
Кроме того, вредоносное ПО использует передовые инструменты обфускации, например обфускатор Branchlock, чтобы избежать обнаружения и анализа. Несмотря на все трудности, исследователи продолжают разрабатывать способы деобфускации и изучать принципы работы Vcurms.
Vcurms крайне схож вредоносным ПО Rude Stealer, но отличается уникальными методами передачи информации, пишут в Securitylab. При этом основной его целью является извлечение конфиденциальных данных из часто используемых браузеров, включая Chrome, Brave, Edge, Vivaldi, Opera, OperaGX, Firefox, а также из таких приложений, как Discord и Steam.
В ответ на угрозу Vcurms FortiGuard Labs в своем блоге рекомендует принять ряд профилактических мер. В первую очередь, необходимо развернуть обновленные решения кибербезопасности и произвести сегментацию сети.
