23/07/24
Специалисты компании Huntress сообщают, что вредоносный JavaScript-загрузчик SocGholish используется для доставки трояна AsyncRAT с помощью открытого проекта для вычислений BOINC, пишет Securitylab.
BOINC (Berkeley Open Infrastructure Network Computing Client) — это открытая платформа для «добровольных вычислений», поддерживаемая Калифорнийским университетом в Беркли для проведения высокопроизводительных вычислений в научных проектах с помощью домашних компьютеров добровольцев, на которых установлено соответствующее приложение. По своей сути BOINC похож на криптомайнер – платформа использует компьютерные ресурсы для работы и вознаграждает пользователей криптовалютой Gridcoin, разработанной специально для этой цели.
В обнаруженной кампании вредоносные установки BOINC настроены на подключение к доменам злоумышленника (rosettahome[.]cn и rosettahome[.]top), которые служат C2-серверами для сбора данных хоста, передачи полезных нагрузок и отправки дальнейших команд. По состоянию на 15 июля к двум доменам подключено 10 032 клиента.
Хотя специалисты не наблюдали никакой последующей активности на зараженных хостах, предполагается, что подключения могут быть проданы другим злоумышленникам, что создаёт возможность для использования хостов в качестве начальных точек для внедрения программ-вымогателей.
Типичная последовательность атак SocGholish начинается с того, что пользователи заходят на взломанные веб-сайты, где предлагается скачать поддельное обновление браузера. После запуска «обновления» вредоносное ПО загружает дополнительные компоненты на зараженные машины.
В данном случае загрузчик JavaScript активирует две отдельные цепочки: одна приводит к установке бесфайловой версии (Fileless malware) AsyncRAT, а другая — к установке BOINC. Приложение BOINC маскируется под «SecurityHealthService.exe» или «trustedinstaller.exe» для избегания обнаружения и сохраняет своё присутствие с помощью запланированной задачи. Проект BOINC уже заметил использование своей платформы в злонамеренных целях и активно исследует проблему. Случаи злоупотребления зафиксированы с 26 июня 2024 года.
AsyncRAT имеет множество функций, таких как регистрация нажатий клавиш, запись аудио/видео, кража информации, удаленное управление рабочим столом, восстановление паролей, запуск удаленной оболочки, доставка полезной нагрузки и другие.
Активные подключения зараженных клиентов к вредоносным серверам BOINC представляют собой значительный риск. Злоумышленники могут использовать подключения для выполнения любых команд или установки вредоносного ПО, что может привести к эскалации привилегий или распространению по сети и компрометации всего домена.
