Недавно было обнаружено, что вредоносные файлы используют технику переопределения справа налево (RLO). Эта техника использует управляющий символ Unicode (U+202E) для изменения порядка отображения текста. Злоумышленники пользуются этим, чтобы обмануть пользователей, заставив их думать, что файл или ссылка безопасны, замаскировав имя и расширение файла.
Описание
Популярные архиваторы, такие как 7-Zip, WinRAR и Windows Explorer, не обрабатывают этот символ подстановки, благодаря чему файлы, использующие RLO, реже распространяются в архивах. Дальнейшее изучение этих атак позволило выявить новый кластер вредоносной активности и определить схемы распространения таких бэкдоров, как Remcos, DarkGate и ранее неизвестное семейство BrockenDoor.
Атаки обычно начинаются с фишинговых писем, в которых злоумышленники выдают себя за компании, занимающиеся автоматизацией процессов, и отправляют письма с просьбой просмотреть техническую спецификацию в приложенном архиве. Изначально вредоносный архив содержал только один исполняемый файл, использующий технику RLO. Однако была обнаружена вариация атаки, которая включала другие файлы, такие как карточка компании, неработающий PDF-документ и LNK-файл.
Один из обнаруженных LNK-файлов содержал команду, которая при выполнении передавала вредоносный файл на исполнение утилите mshta.exe. Этот вредоносный файл представлял собой HTA-скрипт, разделенный на три части и скрытый между легитимными файлами dvdplay.exe. Скрипт загружал два дополнительных файла: документ-обманку и конечную вредоносную полезную нагрузку в виде бэкдора Remcos. Remcos - это троянец удаленного доступа (RAT), позволяющий злоумышленникам получить полный контроль над зараженной системой.
Другой ярлык привел к загрузке архива, содержащего интерпретатор скриптового языка AutoIt и скрипт. Этот скрипт распаковывал архив и запускал интерпретатор, что приводило к выполнению вредоносной программы DarkGate. DarkGate - это коммерческий загрузчик, который облегчает установку других вредоносных программ.
В случае с бэкдором Remcos было обнаружено, что он настроен на связь с определенными командными центрами и имеет в настройках идентификатор кампании и мьютекс. Кроме того, была обнаружена еще одна цепочка заражения с участием DarkGate, что свидетельствует об использовании различных техник и полезных нагрузок в этих атаках.
Эти находки свидетельствуют об эволюции методов, используемых злоумышленниками для распространения вредоносного ПО, и о том, как важно быть осторожными при работе с вложениями электронной почты и загрузке файлов из ненадежных источников. Очень важно постоянно обновлять последние исправления безопасности и использовать надежные меры защиты, чтобы снизить риск стать жертвой подобных атак.
Indicators of Compromise
IPv4
- 194.87.252.40
- 194.87.252.74
- 45.151.62.66
Domains
- Remote.hipool.shop
- Snastiisani.xyz
- Tnecharise.biz
- tnecharise.me
- webkruzjevo.site
- Weventlog.store
- Winmetrica.info
- wmpssvc.online
- Wuauserv.site
Domain Port Combinations
- Weventlog.store:80
- wmpssvc.online:8080
- Wmpssvc.online:9080
- wscsvc.online:4080
URLs
- http://Wmiadap.cfd:6180/x
- http://Wmiadap.sbs:6180/x
MD5
- 081662478a85a8d5dc4c6191667b57c7
- 0a7f371622896d6fe98ca4cecf384a77
- 0cd75552f9f1750322e2660f5f4b12a0
- 1bc0523bf62b072d7cb35fa5ba29bf67
- 2faff746b3fa3fc39cee068c2f4b8225
- 353302ef3297119ad7e15d131b85c04d
- 35bd6ff114bbaeaa1b8f959e00042a33
- 3645826d1f2bf59e6fa71e22559676c7
- 3dcdbae24c81bef32d5062d5210da238
- 3e5cd6018e40bfb258087139f7922df9
- 415a4f8f6f5a8fca2cd1d8a2db9cd299
- 514d54cb28d40a67a47cdadfea5aadfb
- 582a296032901a28e2da9f024f90d4a0
- 5b8f3cdc9f406d057e48ff5e33398719
- 5f4b879537af29b224198d4e18399fe7
- 6343560113d4fb9efe740f03b3d847f6
- 6e1642ff15e966b4aabd8a7e7a62afb5
- 8a6fb5adda210ed5df68755d4316e27b
- 943f0607da181651ef79fc5472fbb8e2
- 9546ed5d05d71230c263cc04b5928a70
- 96d09190247304c54a4b2235acd549bd
- a8e35c05fd6324119b719aca8ab85f57
- bbd49c98771b26f571d19f852eb50032
- c3d5c48e7e8cd11ab662dcb832088341
- cab999df17597905d9fba571f4820e5c
- d947ebd975257261fc8e8f5dc9729a81
- de7dcce6672e86154cab335e59885834
- e48ca8c77bd1aade0267b31e5e5c4b16
- ead0ad5a55ef4c64f1be4eba7b2793b9
- eed9223ff9bc5a20f5fa6114aa9cc6be
- f3b658e97d4602729e2a4e4e5493ce29