FakeSG - Kaspersky Lab назвали новую кампанию по распространению RAT от NetSupport. Название было выбрано потому, что оно имитирует печально известную кампанию по распространению SocGholish. Легальные веб-сайты заражаются, выводя на экран уведомление о необходимости обновления браузера пользователя.
При нажатии на уведомление на устройство загружается вредоносный файл. Со временем злоумышленники изменили URL-адрес загрузки, чтобы дольше оставаться незамеченными. Однако по какой-то непонятной причине путь остался прежним (/cdn/wds.min.php).
Загружаемый файл представляет собой JS-файл, содержащий обфусцированный код. При выполнении он загружает другой скрипт из удаленного места и устанавливает cookie. Наконец, он выводит приглашение обновить браузер и начинает автоматическую загрузку еще одного скрипта. На этот раз это пакетный скрипт, который загружает другой пакетный скрипт, 7z-файл и исполняемый файл 7z.
Второй пакетный скрипт заботится о сохранности, создавая запланированное задание с именем "VCC_runner2", извлекает и копирует вредоносное ПО и т. д. Часть 7z-файла представляет собой вредоносный конфигурационный файл, содержащий адрес C2.
Indicators of Compromise
MD5
- c60ac6a6e6e582ab0ecb1fdbd607705b
