Специалисты по информационной безопасности сообщили, что злоумышленники распространяют вредоносные программы семейства Gh0stCringe и HoldingHands RAT, маскируясь под государственные структуры и деловых партнёров. Основная цель атаки — электронные письма с темами о налогах, счетах и пенсиях.
Первый всплеск активности этой кампании был замечен ещё в январе, когда в обращение поступила вредоносная платформа Winos 4.0. Тогда рассылка имитировала официальные уведомления от Национального налогового бюро Тайваня. В мае похожую активность зафиксировали специалисты Rapid7, напоминает Securitylab.
Сейчас же исследователи Fortinet выявили новые образцы вредоносного ПО, подтверждающие, что Silver Fox продолжает свои атаки, используя заражённые PDF-файлы и ZIP-архивы, рассылаемые через фишинговые письма.
В большинстве случаев документы содержат изображение , клик по которому инициирует загрузку ZIP-архива с вредоносным содержимым. Архив включает в себя как легитимные исполняемые файлы, так и загрузчики шелл-кода и зашифрованный вредоносный код. Вся структура заражения устроена в несколько этапов. На первом этапе загрузчик расшифровывает и исполняет DLL-файлы, маскируя вредоносное поведение под обычное поведение легитимного ПО. Используется приём DLL Sideloading, при котором вредоносная библиотека подгружается доверенным исполняемым файлом.
Промежуточные этапы атаки включают обход виртуальных сред, проверку на наличие средств анализа и использование механизмов повышения привилегий. Это позволяет вредоносному ПО избежать обнаружения и работать в полной мере на целевой системе.
Финальной стадией заражения становится выполнение файла под именем «msgDb.dat». Этот модуль организует связь с управляющим сервером, собирает сведения о жертве, а также может загружать дополнительные компоненты, включая средства для управления файлами и удалённого доступа к рабочему столу.
Fortinet также отмечает, что злоумышленники начали распространять Gh0stCringe через PDF-документы, ведущие на страницы загрузки HTM-документов, откуда пользователи подталкиваются к скачиванию заражённых архивов. По словам исследователей, структура этих атак насыщена множеством фрагментов шелл-кода и загрузчиков, что существенно усложняет анализ и отслеживание.