Рекламные объявления на Facebook* снова замешаны в распространении вредоносного ПО.
В новом отчёте компании Trustwave была обнаружена продвинутая кампания по распространению мощного вредоносного программного обеспечения, целью которого является кража данных с заражённых компьютеров.
Схема атаки начинается с рекламного объявления на Facebook *, ведущего к PDF-файлу на OneDrive, который якобы содержит детали вакансии. Однако при попытке открыть файл пользователя перенаправляют на загрузку файла с названием «pdf2.cpl», размещённого в сети Discord.
Этот файл представлен как документ DocuSign, но на самом деле является PowerShell-полезной нагрузкой, использующей файл управления Windows для выполнения.
Trustwave выделила четыре основных метода загрузки вредоносного ПО. Итак, заражение происходит через:
- CPL-файлы благодаря удалённым сценариям PowerShell;
- HTML-файлы методом HTML Smuggling для внедрения зашифрованных ZIP-файлов с зловредным содержимым;
- LNK-файлы (ярлыки Windows), маскирующиеся под текстовые файлы;
- SVG-файлы с встроенными RAR-архивами.
Финальная полезная нагрузка состоит из трёх файлов: легитимного исполняемого файла Windows (WerFaultSecure.exe), DLL для загрузки библиотек посредством DLL Sideloading (Wer.dll) и документа с вредоносным кодом (Secure.pdf).
После выполнения вредоносное ПО устанавливает постоянство в заражённой системе, добавляя задачу в планировщик заданий под названием «Licensing2», которая запускается каждые 90 минут.
Ov3r_Stealer направлен на кражу данных из широкого спектра приложений, включая криптовалютные кошельки, веб-браузеры, расширения браузеров, Discord, Filezilla и многие другие, а также исследует конфигурацию системных служб в реестре Windows, вероятно, для идентификации потенциальных целей.
Краденая информация отправляется боту в Telegram каждые 90 минут, включая геолокационные данные жертвы и сводку по украденным данным. Trustwave обнаружила связь между каналом эксфильтрации в Telegram и определёнными именами пользователей, участвующими в форумах, связанных со взломом программного обеспечения.
Кроме того, исследователи отмечают сходство кода Ov3r_Stealer с вредоносным ПО на C# под названием Phemedrone, что может указывать на использование последнего в качестве основы для нового вируса.
В демонстрационных видеороликах, возможно, показывающих работу вредоносного ПО, злоумышленники использовали вьетнамский и русский языки, а также флаг Франции, что не даёт однозначно определить национальность злоумышленников. Возможно, они намеренно пытались затруднить свою атрибуцию.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Кодовое слово дня — безопасность.
Узнай больше — подпишись на нас!
Кракен в даркнете — это платформа для анонимных покупок, предлагающая широкий спектр товаров и услуг. Пользователям важно быть осторожными, проверять информацию и защищать свою анонимность, чтобы избежать мошенничества и правовых последствий. Понимание принципов работы даркнета и использование надёжных источников для получения информации о площадках, таких как Кракен, помогут сделать процесс торговли более безопасным и эффективным.
Доступ к сайту осуществляется через Tor-браузер, который скрывает IP-адреса пользователей. Кракен предлагает удобный интерфейс, позволяющий легко находить и приобретать интересующие товары. Пользователи могут оставлять отзывы и оценки о продавцах, что способствует созданию более безопасной торговой среды.
