Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Тайванских пользователй Facebook заражают поддельными юридическими документами

05/11/24

hack33-Nov-05-2024-08-24-17-3178-AM

Неизвестные злоумышленники с июля 2024 года проводят фишинговую кампанию, направленную на пользователей Facebook* в Тайване, чьи аккаунты используются для бизнеса и рекламы. О новой операции хакеров рассказали специалисты Cisco Talos в новом отчете, пишет Securitylab.

Основным вектором атаки служат фишинговые электронные письма с ссылкой на скачивание вредоносного ПО. Тексты писем составлены на традиционном китайском языке, что указывает на целевую аудиторию, владеющую этим языком. Письма имитируют уведомления от юридических отделов известных компаний, создавая ложное ощущение правовой угрозы.

В письмах содержатся ссылки на поддельные PDF-документы, якобы связанные с нарушением авторских прав. Вредоносные файлы названы так, чтобы создать у жертвы впечатление, что они содержат юридические документы, например: «Сведения о нарушении авторских прав - [название компании].exe» или «[название] Online — объявление о нарушении.exe». Подобные имена файлов и использование популярных брендов указывают на тщательную подготовку злоумышленников, ориентированную на ввод в заблуждение пользователей.

Кампания также включает фишинговые письма, маскирующиеся под уведомления от известных тайваньских производителей и онлайн-магазинов. Такие письма требуют от администратора страницы Facebook удалить «нарушающий» контент в течение 24 часов, угрожая судебными исками и требованием компенсации. Для каждой компании создается уникальный шаблон письма, с определенными названием и контактной информацией, что затрудняет выявление мошеннической активности.

Анализ показал, что киберпреступники используют платформу Appspot[.]com для перенаправления жертв через короткие ссылки на Dropbox, где размещен архив с вредоносным ПО. Такая схема позволяет обойти меры безопасности и затрудняет обнаружение атаки. Кроме того, злоумышленники используют несколько доменов в качестве C2-сервера, что указывает на продолжающееся развитие кампании.

Цепочка заражения начинается со скачивания запароленного архива, который содержит поддельный PDF-файл и инфостилер (Lumma Stealer или Rhadamanthys). Вредоносное ПО собирает конфиденциальные данные жертв, включая пароли и информацию из веб-браузеров, и передает их на C2-сервер.

Стилер Lumma, написанный на языке C, использует методы обфускации для сокрытия своей деятельности и направлен на кражу данных из системы. Программа запускается в системе через API и внедряет свои функции в оперативную память, что усложняет обнаружение.

Rhadamanthys, впервые появившийся в 2022 году, отличается сложной структурой и устойчивостью к анализу, используя секцию «.rsrc» для размещения вредоносного кода. В целях маскировки стилер копирует себя в папку документов жертвы, увеличивая размер файла до 700 МБ, чтобы обойти антивирусные проверки. Вредонос также добавляет запись в реестр Windows для автоматического запуска при каждом включении компьютера, обеспечивая долгосрочное присутствие в системе.

Завершающий этап работы Rhadamanthys — внедрение своего кода в системный процесс Windows, что позволяет 7 пвыполнять вредоносные функции под видом легитимного процесса и продолжать сбор данных без п

 

ривлечения внимания систем безопасности. Исследователи добавили индикаторы компрометации (IoC), которые можно найти здесь.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Темы:FacebookКитайПреступленияфишингCisco Talos
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...