27/04/23
Исследователи безопасности из компании Securonix обнаружили новую кампанию под названием «OCX#HARVESTER», распространяющая бэкдор « More_eggs » и другие вредоносные программы.
Вредоносное ПО More_eggs наблюдалось в атаках с декабря 2022 года по март 2023 года. Считается, что кампания активна, поскольку злоумышленники изучают новые цели и методы доставки вредоносного ПО.
По данным Securonix, кампания OCX#HARVESTER ориентирована на финансовый сектор, особенно на криптовалюты.
Цепочка заражения начинается с фишинговых писем, содержащих вредоносный ZIP-архив, который загружает два LNK-ярлыка. LNK-ярлыки замаскированы под JPEG-файлы и отображаются как значок WIM-файла «Windows Image Resource», который содержит библиотеку значков для файлов и папок.
После выполнения загруженные файлы дополнительно загружают другие вредоносные файлы, которые развертывают More_eggs (TerraLoader). В некоторых случаях злоумышленники также пытаются загрузить и запустить расширение SharpChrome, предназначенное для кражи cookie-файлов и данных для входа в Chrome.
Основываясь на жертвах и методах работы вредоносного ПО «More_eggs», исследователи связали кампанию с APT-группой FIN6 . Однако эксперты также утверждали, что бэкдор использовался группами Cobalt и Evilnum . Специалисты также добавили, что текущая кампания похожа на кампанию « PY#RATION », обнаруженную ранее в этом году.
Похоже, что набор вредоносных программ More_eggs постоянно поддерживается и обновляется в попытке обойти обнаружение. Поскольку изменения и новые направления атак в кампании продолжают отслеживаться, организациям рекомендуется не открывать какие-либо вложения, особенно полученные неожиданно от других организаций или неизвестного источника.
