Исследователи Proofpoint обнаружили технику, которая направляет пользователей копировать и вставлять вредоносные сценарии PowerShell, чтобы заразить их компьютеры вредоносным ПО. Злоумышленники, в том числе TA571 и участники кластера ClearFake, используют этот метод для распространения вредоносного ПО, включая DarkGate, Matanbuchus, NetSupport и различные программы для кражи информации.
Компания Proofpoint обнаружила этот метод в нескольких недавних кампаниях с участием нескольких злоумышленников, включая тех, кто стоит за ClearFake и злоумышленником TA571, известным распространением спама, приводящего к заражению вредоносным ПО и выкупным программам. Цепочка атак требует значительного взаимодействия с пользователем для достижения успеха, но социальная инженерия достаточно умна, чтобы представить человеку реальную проблему и ее решение одновременно, что может побудить пользователя предпринять действия без учета риска.
Кампания ClearFake представляет собой кластер фальшивых обновлений браузера, который компрометирует легитимные веб-сайты с помощью вредоносных HTML и JavaScript.
Первоначальный скрипт затем загружал второй скрипт с домена, который использовал Keitaro TDS для фильтрации. Если этот второй скрипт загружался и проходил различные проверки, а жертва продолжала просматривать веб-сайт, то на скомпрометированном сайте появлялось фальшивое предупреждение. В этом предупреждении содержалась инструкция по установке "корневого сертификата" для корректного просмотра сайта.
Кампания TA571 включала более 100 000 сообщений и была направлена на тысячи организаций по всему миру. Письма содержали HTML-вложение, в котором отображалась страница, напоминающая Microsoft Word. На странице также появлялось сообщение об ошибке: "Word Online’ extension is not installed", и предлагалось два варианта продолжения: "How to fix" и "Auto-fix".
Среди обнаруженных полезных нагрузок - DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig и Lumma Stealer. Злоумышленники активно экспериментируют с различными методами, чтобы повысить эффективность и найти больше путей заражения для компрометации большего количества систем.
Indicators of Compromise
IPv4
- 91.222.173.113
Domains
- mylittlecabbage.net
URLs
- http://languangjob.com/pandstvx
- http://mylittlecabbage.net/qhsddxna
- http://mylittlecabbage.net/xcdttafq
- https://cdn3535.shop/1.zip
- https://jenniferwelsh.com/header.png
- https://kostumn1.ilabserver.com/1.zip
- https://lashakhazhalia86dancer.com/c.txt
- https://oazevents.com/loader.html
- https://rtattack.baqebei1.online/df/tt
Emails
- rechtsanwalt@ra-silberkuhl.com
SHA256
- 07e0c15adc6fcf6096dd5b0b03c20145171c00afe14100468f18f01876457c80
- 11909c0262563f29d28312baffb7ff027f113512c5a76bab7c5870f348ff778f
- 9701fec71e5bbec912f69c8ed63ffb6dba21b9cca7e67da5d60a72139c1795d1