Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Троян AZORult использует подделки под Google Docs для распространения через фишинг

20/03/24

gettyimages-1247049039

Netskope Threat Labs выявила новую кампанию, в ходе которой используются фишинговые страницы Google Sites для распространения инфостилера AZORult. Фишинговая кампания пока не связана с каким-либо конкретным злоумышленником или группой, она направлена на сбор чувствительных данных для последующей продажи в даркнете, пишут в Securitylab.

AZORult (также известный как PuffStealer и Ruzalto) — это вредоносная программа для кражи информации, впервые обнаруженная в 2016 году. Распространяется через фишинг, заражённые установщики пиратского ПО, поддельные читы для игр, а также через мошенническую рекламу.

После установки AZORult собирает учётные данные, куки и историю браузеров, скриншоты, документы с определёнными расширениями (TXT, DOC, XLS, DOCX, XLSX, AXX и KDBX), а также данные из 137 криптовалютных кошельков. Файлы AXX — это зашифрованные файлы, созданные AxCrypt, а KDBX — это база данных паролей, созданная менеджером паролей KeePass.

В обнаруженной атаке злоумышленники через Google Sites создали поддельные страницы Google Docs, которые затем используют технику HTML Smuggling для доставки вредоносного кода. Такой метод позволяет обойти стандартные меры безопасности, в том числе шлюзы электронной почты, которые обычно проверяют наличие подозрительных вложений.

В кампании также используется CAPTCHA, которая не только придает правдоподобности, но и служит дополнительным слоем защиты от сканеров URL.

Скачанный вредоносный файл представляет собой ярлык Windows, который маскируется под выписку по счету в банке в формате PDF. Запуск ярлыка инициирует серию действий по выполнению промежуточных скриптов и скриптов PowerShell с уже скомпрометированного домена.

Темы:GoogleУгрозыфишингNetskope
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...