Команда Securonix отслеживает фишинговую кампанию, в которой злоумышленники использовали методы обмана налоговой тематики. Кампания использует файлы MSC и передовые методы обфускации для выполнения скрытой вредоносной нагрузки. Фишинговая ссылка или вложение в электронном письме запускают кампанию, а названия файлов и документов-приманок указывают на использование стандартных методов фишинга на налоговую тематику.
Описание
Кампания FLUX#CONSOLE использует файлы MSC для развертывания загрузчика и дроппера для доставки вредоносной полезной нагрузки. Загрузчик эффективно доставляет и выполняет вредоносную нагрузку, создавая скрытый и сильно обфусцированный DLL-файл для обхода традиционных средств обнаружения. Эта кампания также использует эксплуатацию MSC-файлов, боковую загрузку DLL с помощью Dism.exe и запланированные задачи для обеспечения сохранения активности вредоносного ПО. Злоумышленники также применяют продвинутые техники обфускации, чтобы усложнить анализ и обнаружение.
Файлы MSC обычно используются для управления административными инструментами в Windows и не представляют опасности. Однако злоумышленники могут использовать эти файлы для выполнения вредоносных сценариев или команд под видом легитимных административных инструментов. Гибкость MSC-файлов позволяет злоумышленникам создавать файлы, которые выполняют произвольный код без согласия пользователя. В кампании FLUX#CONSOLE использовался JavaScript, но также возможно выполнение VBScript. Злоумышленники также могут использовать ссылки на уязвимые элементы управления ActiveX в файле MSC для выполнения вредоносных скриптов или команд.
Эти новые методы и техники обнаружены в последних фишинговых кампаниях, связанных с налоговой тематикой. Использование MSC-файлов и обфускации помогло злоумышленникам обойти обнаружение и доставить вредоносную нагрузку. Важно обратить внимание на такие кампании и принять меры для защиты от них, такие как обновление антивирусных программ и обучение пользователей о методах фишинга и мошенничества.
Indicators of Compromise
Domains
- siasat.top
URLs
- https://ewh.ieee.org/reg/ccece15/files/ccece-word-sample.pdf
SHA256
- 5756f6998e14df4dd09f92b9716cffa5cd996d961b41b82c066f5f51c037a62f
- b33d76c413ef0f4c48a8a61cfeb5e24ff465bbc6b70bf0cada2bb44299a2768f
- b3b2d915f47aa631cc4900ec56f9b833e84d20e850d78f42f78ad80eb362b8fc
- f6c435a9a63bdef0517d60b6932cb05a8af3b29fc76abafc5542f99070db1e77