Центр экстренного реагирования ASEC (AnLab Security) сообщает о новой волне атак, в ходе которых злоумышленники используют взломанные легитимные веб-сайты для распространения вредоносного программного обеспечения. Вредоносные файлы маскируются под безобидные документы, заставляя пользователей открывать их, что приводит к заражению системы.
Описание
Атака начинается с того, что пользователь посещает, казалось бы, безопасный сайт, который был взломан и используется преступниками в качестве платформы для распространения вредоносного ПО. Злоумышленники размещают на таких ресурсах сжатые файлы (например, ZIP), которые содержат LNK-файлы - ярлыки, замаскированные под текстовые документы (например, «document.txt.lnk»). Внешне такой файл выглядит как обычный текстовый документ с иконкой Блокнота, что снижает бдительность жертвы.
Когда пользователь запускает такой файл, он активирует скрытый скрипт, который загружает и запускает вредоносный CAB-архив. Этот архив содержит исполняемый код, который внедряется в систему и может выполнять различные вредоносные действия, включая кражу данных, шифрование файлов или установку бекдоров.
Особенностью этой атаки является использование не-PE файлов (не исполняемых в традиционном смысле), которые сложнее обнаружить классическими антивирусными средствами. В отличие от PE-файлов (Portable Executable), которые стандартно анализируются антивирусами, LNK-файлы и скрипты требуют более глубокого поведенческого анализа.
ASEC предупреждает, что подобные атаки становятся все более распространенными, поскольку злоумышленники активно эксплуатируют уязвимости в веб-ресурсах, внедряя на них вредоносный контент. Поскольку жертвы загружают файлы с доверенных сайтов, они даже не подозревают, что становятся мишенью киберпреступников.
Чтобы минимизировать риски, эксперты рекомендуют соблюдать базовые правила кибергигиены. Во-первых, никогда не открывать файлы с подозрительными расширениями, особенно если они загружены с незнакомых или сомнительных ресурсов. Во-вторых, использовать современные системы защиты, такие как EDR (Endpoint Detection and Response), которые отслеживают подозрительную активность на уровне поведения процессов, а не только сигнатур. В-третьих, важно регулярно обновлять операционную систему и программное обеспечение, чтобы исключить эксплуатацию известных уязвимостей.
Также рекомендуется отключать автоматическое выполнение скриптов в операционной системе и использовать решения для анализа веб-трафика, которые могут блокировать загрузку подозрительных файлов. Пользователям корпоративных сетей следует применять строгие политики ограничения запуска файлов с потенциально опасных источников.
ASEC продолжает мониторинг данной угрозы и призывает организации и частных пользователей проявлять повышенную осторожность при работе с файлами, загруженными из интернета. В случае обнаружения подозрительной активности рекомендуется немедленно обратиться к специалистам по информационной безопасности для проведения расследования и нейтрализации угрозы.
Индикаторы компрометации
MD5
- 04d9c782702add665a2a984dfa317d49
- 453e8a0d9b6ca73d58d4742ddb18a736
- 8f3dcf4056be4d7c8adbaf7072533a0a
- c2aee3f6017295410f1d92807fc4ea0d
