21/08/24
Исследователи в области кибербезопасности зафиксировали резкий рост заражений, связанных с кампанией по распространению вредоносного ПО, которая использует загрузчик под названием NUMOZYLOD.
По данным киберэкспертов Mandiant, эти атаки носят оппортунистический характер и нацелены на пользователей, ищущих популярное бизнес ПО, передаёт Securitylab. Заражение происходит через троянский MSIX-установщик, который запускает PowerShell-скрипт для загрузки вторичного вредоносного кода.
NUMOZYLOD, также известный как FakeBat, EugenLoader и PaykLoader, связан с кибергруппой под названием Eugenfest. Специалисты Mandiant связывают вредонос с операцией Malware-as-a-Service (MaaS), организованной группировкой UNC4536.
Цепочка заражения начинается с методов Drive-by, когда пользователи, пытаясь загрузить популярное программное обеспечение, попадают на поддельные сайты, предлагающие заражённые MSI-установщики. Среди вредоносных программ, распространяемых через FakeBat, отмечены такие известные образцы, как IcedID, RedLine Stealer, Lumma Stealer, SectopRAT и Carbanak, последний из которых ассоциируется с группировкой FIN7.
Группировка UNC4536 использует методику, известную как «малвертайзинг» для распространения троянских MSIX-установщиков, замаскированных под такие популярные программы, как Brave, KeePass, Notion, Steam и Zoom. Эти установщики размещены на фальшивых сайтах, имитирующих легитимные ресурсы, что заставляет пользователей скачивать заражённые версии.
Особенностью атак является использование MSIX-установщиков, которые могут выполнять скрипт до запуска основного приложения благодаря конфигурации startScript. Это делает атаки особенно опасными, так как вредоносное ПО начинает свою работу ещё до установки самой программы.
UNC4536 фактически выполняет роль дистрибьютора вредоносного ПО, используя FakeBat как транспорт для доставки следующего этапа заражения. Этот вредонос, как сообщается, собирает информацию о системе, включая данные об операционной системе, доменной принадлежности и установленных антивирусах.
В некоторых вариантах также собираются публичные IP-адреса хоста, которые отправляются на командный сервер. А для сохранения присутствия в системе создаётся ярлык в папке автозагрузки.
Рассмотренная Mandiant вредоносная кампания подчёркивает важность осторожности при загрузке программного обеспечения из интернета, особенно с неизвестных или подозрительных сайтов.
