Злоумышленники все чаще используют браузер для доставки вредоносных программ, которые могут обойти антивирусные программы. Они используют социальную инженерию и череду уловок, которые могут быть очень изощренными. Например, они могут скопировать вредоносную команду в буфер обмена жертвы, а затем предложить пользователю вставить и выполнить эту команду самостоятельно.
Описание
Недавно была обнаружена новая кампания, в которой комбинируются вредоносные рекламные объявления и поддельные страницы, демонстрирующие бренды программного обеспечения, за которыми следует ложное уведомление от Cloudflare, которое заставляет пользователей выполнить некоторые комбинации клавиш. Несознательные пользователи выполняют эти действия, что включает выполнение кода PowerShell, и в итоге устанавливают вредоносное ПО.
Следующее исследование было начато с подозрительного объявления "Блокнот" при поиске в Google. Подобные поисковые запросы становятся жертвой злоумышленников, которые соблазняют пользователей, желающих скачать программы на свой компьютер. Исследователи заметили, что злоумышленники обманывают жертв, заставляя их посетить похожий сайт с целью загрузки вредоносного ПО. В этом случае первый этап был правдивым, но последующие этапы были неожиданными. При нажатии кнопки "Загрузить" пользователей перенаправляют на страницу, которая оказывается сайтом Cloudflare и запрашивает подтверждение пользователя как человека, выполнив указанные действия. Но вместо решения CAPTCHA пользователи видят сообщение "Ваш браузер не поддерживает корректное отображение этого документа. Пожалуйста, следуйте инструкциям ниже, используя кнопку "Исправить"". Нажатие на кнопку "Исправить" копирует вредоносную команду в буфер обмена, и пользователи, не подозревая о своих действиях, могут выполнить команду в командном диалоге Run, что запускает вредоносное ПО.
После запуска команда загружает файлы с удаленного домена, а затем отправляет информацию на командно-контрольный сервер, используя туннелизацию Cloudflare. Эта кампания Notepad++ была обнаружена неоднократно, и такие схемы социальной инженерии становятся все популярнее. Они требуют от пользователя выполнить ручные действия для запуска вредоносных команд PowerShell. Комбинация клавиш Windows и "R" открывает окно "Выполнить", в котором команда вставляется и выполняется. В данной кампании использовались несколько брендов программного обеспечения, таких как Microsoft Teams, FileZilla, UltraViewer, CutePDF и Advanced IP Scanner. Даже сайт бронирования круизов был подвержен атаке, что вызывает некоторое удивление.
Интересно, что вредоносная команда PowerShell для Notepad++ использовала тот же домен topsportracing[.]com, который недавно использовался в другой кампании под названием #KongTuke. Issledovateli takzhe sledyat za neskol'kimi razlichnymi semyami pod raznymi nazvaniyami, naprimer, original'nyy SocGholish. Они отмечают, что все больше преступников используют этот тип атак социальной инженерии, поэтому важно знать, какие процессы они задействованы. Клавиши Windows и "R", нажатые вместе, открывают окно "Выполнить", и в большинстве случаев пользователь не должен выполнять такие действия, поэтому всегда стоит быть внимательным.
Indicators of Compromise
IPv4
- 141.8.192.93
- 185.106.94.190
- 89.31.143.90
- 94.156.177.6
Domains
- advanceipscaner.com
- cute-pdf.com
- filezila-project.com
- globalnetprotect.com
- jam-softwere.com
- microsoft.team-chaats.com
- notepad-plus-plus.bonuscos.com
- peter-secrets-diana-yukon.trycloudflare.com
- sunsetsailcruises.com
- ultra-viewer.com
- vape-wholesale-usa.com
URLs
- http://212.34.130.110/1.e
- http://chessive.com/10.exe
- http://topsportracing.com/wp-25
- http://topsportracing.com/wpnot21
- http://topsportracing.com/wp-s2
- http://topsportracing.com/wp-s3
