Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Операторы BazarLoader используют в атаках Slack и облака BaseCamp

20/04/21

slack-1Исследователи в области кибербезопасности из компании Sophos сообщили о новых кибератаках, в рамках которых операторы вредоносного ПО BazarLoader используют корпоративный мессенджер Slack, инструмент BaseCamp и голосовые вызовы для обмана пользователей.

По словам исследователей, в ходе первой вредоносной кампании злоумышленники атаковали сотрудников крупных организаций. Преступники рассылали электронные письма, якобы содержащие важную информацию о контрактах, обслуживании клиентов, счетах-фактурах или начислении заработной платы.

«Один образец спама был замаскирован под уведомление об увольнении сотрудника с работы», — отметили эксперты.

Ссылки в электронных письмах размещались в облачном хранилище Slack или BaseCamp и выглядят для потенциальной жертвы легитимными, если пользователь работает в организации, которая использует одну из этих платформ.

После нажатия на ссылку на устройство жертвы загружается BazarLoader. Ссылки обычно указывают непосредственно на исполняемый файл с цифровой подписью с изображением значка Adobe PDF. Вредоносные файлы обычно называются presentation-document.exe, preview-document-[номер].exe или Annualreport.exe. Исполняемые файлы при запуске внедряют полезную DLL-нагрузку в легитимные процессы Windows.

«Вредоносное ПО работает только в памяти и не может быть обнаружено при сканировании файловой системы инструментом защиты конечных точек. Сами файлы не используют легитимное расширение .DLL», — пояснили эксперты.

В рамках второй кампании под названием BazarCall отсутствовали подозрительные файлы или ссылки в спам-сообщениях. В письмах мошенники уведомляли получателя об истечении срока бесплатной пробной версии используемой online-службы и предлагали позвонить по номеру телефона для отказа от дорогостоящей платной подписки. Если жертва решала позвонить, мошенник предоставлял адрес web-сайта, где можно было предположительно отказаться от подписки на услугу.

Письма исходили якобы от компании Medical Reminder Service и содержали номер телефона и адрес реального офисного здания, расположенного в Лос-Анджелесе. В середине апреля в сообщениях использовалась приманка, связанная с поддельной платной online-библиотекой BookPoint. В рамках данной кампании преступники распространяли зараженные документы Microsoft Office, вызывающие команды для выполнения одной или нескольких вредоносных DLL-библиотек.

Темы:ПреступленияSophosМошенничествоSlack
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...