04/03/24
Об этом сообщается в отчете компании Zscaler ThreatLabz. Согласно их данным, в рамках атак хакеры рассылали сотрудникам дипмиссий pdf-файлы, якобы от имени посла Индии. Эти письма содержали приглашения на дегустацию вин, намеченную на 2 февраля 2024 года.
Один из pdf-документов такого рода был загружен на ресурс VirusTotal 30 января 2024 года из Латвии. Вместе с тем есть основания полагать, что кампания могла начаться еще 6 июля 2023 года. На это указывает обнаружение еще одного похожего pdf из той же страны, пишут в Securitylab.
«Атака отличается небольшими масштабами и использованием продвинутых методов, техник и процедур как в самом вредоносном ПО, так и в инфраструктуре управления и контроля», - констатировали исследователи безопасности из Sudeep Singh и Roy Tay.
В pdf-файле содержится вредоносная ссылка, маскирующаяся под опросник. Адресатов просят заполнить анкету для участия в мероприятии. Переход по этой ссылке приводит к загрузке html-приложения («wine.hta») с обфусцированным javascript-кодом. Он предназначен для получения зашифрованного архива ZIP с вредоносной программой WINELOADER с того же домена.
Ядро WINELOADER включает модуль, который скачивает дополнительные элементы с командного сервера. Также он внедряется в сторонние dll-библиотеки и сокращает интервал времени между отправкой запросов.
Отличительной чертой этих кибератак является использование взломанных веб-сайтов в качестве серверов управления и для размещения вредоносного ПО. Предположительно, командные серверы принимают запросы от вредоносных программ только в определенное время и по специальному протоколу. Это делает атаки более скрытными и затрудняет их обнаружение
