21 июня 2024 года была обнаружена вредоносная кампания, нацеленная на пользователей, ищущих формы W2. Этот файл выполнял инсталлятор MSI, сбрасывая DLL Brute Ratel Badger в AppData пользователя. Затем фреймворк Brute Ratel загружал и вставлял бэкдор Latrodectus, предоставляя злоумышленникам возможность удаленного управления, кражи данных и развертывания дополнительной полезной нагрузки.
Злоумышленник использовал результаты поиска Bing для перенаправления пользователей с похожих доменов appointopia[.]com на поддельный сайт IRS, размещенный на grupotefex[.]com, инициируя вызов капчи, который приводил к загрузке вредоносного JavaScript-файла, размещенного в хранилище Google Firebase. Этот файл использовал методы обфускации кода и действительный сертификат аутентификации, чтобы скрыть свою вредоносную природу и инициировать установку MSI-пакетов с указанных URL-адресов, потенциально нацеленных на системы с идентичной вредоносной полезной нагрузкой. Это событие схоже с событием от 25 июня 2024 года с файлом "neuro.msi", замеченным Rapid7.
Инсталлятор MSI устанавливает DLL-файл capisp.dll в папку AppData/Roaming пользователя и запускает его с помощью rundll32.exe с экспортным именем "remi". Файл capisp.dll инициирует многоступенчатое заражение вредоносным ПО. Он содержит зашифрованные данные, при расшифровке которых обнаруживается загрузчик для полезной нагрузки Brute Ratel Badger (BRc4). Эта полезная нагрузка подключается к нескольким командно-контрольным (C2) доменам для загрузки и внедрения вредоносной программы Latrodectus в файл Explorer.exe, который затем связывается с несколькими дополнительными C2-адресами.
Indicators of Compromise
URLs
- https://grupotefex.com/forms-pubs/about-form-w-2
