Центр экстренного реагирования на киберугрозы AhnLab Security (ASEC) вновь предупреждает пользователей о новой эскалации угроз, связанных с вредоносными программами, распространяемыми через файлы формата CHM. Ранее эти файлы маскировались под документы корейских финансовых учреждений и страховых компаний, но теперь злоумышленники значительно изменили тактику. По данным экспертов, методы выполнения вредоносного кода обновляются еженедельно, что усложняет их обнаружение и блокировку.
Описание
Особую опасность представляют штаммы вредоносного ПО, нацеленные на конкретных пользователей в Южной Корее. Злоумышленники тщательно подбирают контент, который может заинтересовать жертву, чтобы повысить вероятность запуска вредоносного вложения. Это могут быть документы, связанные с финансами, страхованием или другими актуальными темами. ASEC настоятельно рекомендует воздерживаться от открытия писем из непроверенных источников и не загружать вложения, если их происхождение вызывает малейшие сомнения.
Новые версии вредоносного ПО разработаны на платформе .NET и сохраняют структуру, схожую с ранее распространяемыми файлами. Однако ключевое отличие заключается в изменении основной функциональности: если раньше зловреды фокусировались на краже данных, то теперь их главная цель - создание бэкдора для удаленного доступа к системе. Это позволяет злоумышленникам не только похищать информацию, но и контролировать зараженные устройства, запуская дополнительные вредоносные модули по своему усмотрению.
Изначально заражение происходило через сценарий, который активировал PowerShell через командную строку (CMD) для загрузки и выполнения вредоносного кода. В первой версии атаки скрипт также добавлял файл .jse в реестр автозапуска, чтобы обеспечить постоянное присутствие в системе. Интересно, что в средах, где установлены продукты AhnLab, процесс заражения разделен на два этапа: сначала загрузка через скрипт, а затем выполнение через реестр. В системах без защиты AhnLab вредоносный код запускается сразу после загрузки, что ускоряет процесс компрометации.
Эксперты ASEC отмечают, что подобные атаки становятся все более изощренными и требуют повышенной бдительности со стороны пользователей. Рекомендуется регулярно обновлять антивирусное ПО, избегать подозрительных вложений и использовать двухфакторную аутентификацию для защиты учетных записей. Кроме того, компаниям следует обучать сотрудников основам кибергигиены, чтобы минимизировать риски успешных фишинговых атак.
В условиях растущей сложности киберугроз подобные случаи подчеркивают необходимость комплексного подхода к безопасности. Пользователи и организации должны не только полагаться на технологии, но и развивать культуру осознанного поведения в цифровой среде. Только так можно эффективно противостоять постоянно эволюционирующим методам киберпреступников.
Индикаторы компрометации
URLs
- https://atusay.lat/kxydo
- https://zienk.sbs/kjntf
MD5
- 056932151e3cc526ebf4ef5cf86ae0b4
- 258472c79fc3b9360ad560e26350b756
- 790c5f50942a502252a00b9878db9496
- 7c949f375c56e7de7a3c4f0a9a19c4e5
- 8d39335e67e797ad66c3953c3d6203ce
