В августе аналитическая группа ASEC опубликовала сообщение о вредоносном ПО, распространяемом с именами файлов, использующих RTLO (Right-To-Left Override). RTLO - это юникод, который выполняет переопределение справа налево. Этот тип вредоносного ПО побуждает пользователей выполнять его файлы путем смешивания имен файлов с расширениями, причем его распространение продолжается и по сей день.
По состоянию на 30 ноября 2022 года, когда в GitHub вводятся ключевые слова, основанные на последней записи блога, отображаются результаты 304 коммитов. Множество случаев вредоносных программ были зарегистрированы как обычные коды через несколько учетных записей, а в некоторых даже все было без изменений, за исключением вновь загруженных вредоносных программ, замаскированных под решения.
Согласно результатам, выявленным с помощью инфраструктуры AhnLab’s ASD, методы, использовавшие RTLO, включали сжатые файлы, тестовые файлы и видеофайлы, а также замаскированные под решения (.sln). Наиболее распространенным методом распространения была маскировка под порнографические видео и фильмы, которые включали такие имена, как SCR.pm4, scr.vkm и scr.iva. Мы также обнаружили, что такие файлы, как exe.rar, замаскированные под служебные программы, также распространялись через торренты.
Распространяемая вредоносная программа с именем файла, замаскированного под кряк для программного обеспечения, имеет расширение 'rar', но на самом деле расширение 'exe'. Значок также был разработан для имитации сжатого файла для более успешной маскировки. Кроме того, файл указан как "Приложение", а не как RAR-файл, поэтому пользователям трудно распознать его как исполняемый файл, если они не обратят на него пристального внимания. Фактический формат вредоносной программы - портативный исполняемый файл, содержащий вредоносную программу и сжатый файл.
Вредоносная программа внедряется в обычный процесс, чтобы получить и выполнить дополнительные вредоносные программы. Среди выявленных загрузчиков - Laplas Clipper и Redline Stealer.
Laplas Clipper - это вредоносная программа, которая нацелена на пользователей криптовалют и изменяет адреса их кошельков на адреса злоумышленников, когда они обнаруживаются в буферах обмена пользователей.
Пользователи должны быть бдительны в отношении программ, которым нельзя доверять. Кроме того, они должны постоянно обновлять свое антивирусное программное обеспечение до последней версии. AhnLab V3 обнаруживает и блокирует штаммы вредоносных программ, использующих указанные ниже псевдонимы.
Indicators of Compromise
IPv4
- 79.137.206.137
URLs
- 77.73.133.53/AmnesiaBone/LearnMedal.php
MD5
- 64c3f928790051534889f65f33a6edaf
- 7e7f8d664dc17d08ae3084ec958070fa
- d2cbf6c0a2a55a08aa5fbacad772d63d
- 21f79006cf7560986de8ec8a60998894
- 07abdccbf7b7884f98f962b169ae86c4
- e125eb095b89b5cccc190ff727ae354d