Исследователи CYFIRMA обнаружили тактику, которую использовала пакистанская APT-группа APT36 для создания фальшивого веб-сайта IndiaPost, который заразил пользователей Windows и Android.
Описание
Было обнаружено, что исполняемый файл для Android был создан в пакистанском часовом поясе, а также было установлено, что используемый для создания файла ноутбук является частью пакистанской программы "Молодежный ноутбук". Анализ IP-адреса привел к нахождению домена, связанного с пакистанскими APT-группами.
Мошеннический веб-сайт, выдающий себя за почтовое отделение Индии, привлекает пользователей путем рекламы вредоносного Android-приложения и PDF-инструкции "ClickFix" для пользователей Windows. При посещении этого сайта с настольного компьютера пользователю предлагается скачать вредоносный PDF-файл, который содержит инструкции по вставке команды PowerShell для компрометации системы. Для мобильных пользователей сайт загружает приложение Android с разрешениями, которые могут быть злоупотреблены для получения доступа к данным пользователей.
Это Android-приложение также рекламирует казино-приложение "VivaGame" и просит пользователей ввести данные своей банковской карты. Приложение скрывает свою активность, изменяя иконку на иконку аккаунта Google, что затрудняет его обнаружение и удаление. После получения разрешений приложение отображает страницу с информацией о почте Индии и просит игнорировать оптимизацию батареи, чтобы продолжать работать в фоновом режиме.
Код веб-сайта определяет, с какого устройства пользователь заходит на сайт, и предлагает ему соответствующий контент. Анализ APK-файла для Android выявил прослушивание местоположения пользователя, получение доступа к электронной почте и определенным файлам для эксфильтрации данных. Приложение также использует методы автозапуска, чтобы продолжать свою деятельность после перезагрузки устройства.
Для пользователей Windows сайт запрашивает доступ к буферу обмена и предлагает скачать вредоносный PDF-файл, который указывает пользователю выполнить команду "Выполнить" Windows. Это действие приводит к внедрению вредоносного кода или выполнению вредоносного ПО.
Пока дальнейшее расследование этой атаки ограничено, в целом она свидетельствует о злоупотреблении пакистанской программы "Молодежный ноутбук" для создания и распространения вредоносного программного обеспечения, целью которого является заражение пользователей в Индии.
Indicators of Compromise
IPv4
- 88.222.245.211
Domains
- Email.gov.in.gov-in.mywire.org
- Postindia.site
SHA256
- 287a5f95458301c632d6aa02de26d7fd9b63c6661af331dff1e9b2264d150d23
- cbf74574278a22f1c38ca922f91548596630fc67bb234834d52557371b9abf5d
