Специалисты BI.ZONE Threat Intelligence обнаружили масштабную кампанию, направленную на российские организации в различных отраслях. Злоумышленники используют коммерческий стайлер под названием NOVA, который является новым форком SnakeLogger. Стайлер можно арендовать всего за 50 долларов, а злоумышленники рассылают фишинговые письма, замаскированные под архивы контрактов, используя VPO (Virtual Private Office).
Nova Stealer
Злоумышленники используют коммерческие VPO, приобретенные через теневые ресурсы, что позволяет им экономить ресурсы и сосредоточиться на распространении своих атак. Используя популярные имена файлов для архивов VPO и специально нацеливаясь на сотрудников организаций, обрабатывающих большое количество электронной почты, злоумышленникам удается успешно проводить свои атаки.
Стилизаторы остаются серьезной угрозой кибербезопасности, поскольку злоумышленники могут получить через них аутентификационную информацию, которая впоследствии может быть использована для целевых атак с выкупом.
В этой кампании злоумышленники распространяли NOVA через фишинговые письма, содержащие архивы, замаскированные под контракты. Вредоносные файлы не имеют двойных расширений или иконок, чтобы казаться легитимными. После запуска файл расшифровывает скрытые стеганографией данные из ресурсов с именем «zabawa2» и копирует себя под другим именем в папку AppData\Roaming. Затем он запускает PowerShell для добавления файла в исключения Microsoft Defender, чтобы избежать обнаружения.
Вредоносный файл закрепляется в зараженной системе с помощью планировщика заданий Windows. Он запускается в приостановленном состоянии и внедряет расшифрованную полезную нагрузку в свой собственный дочерний процесс через серию вызовов API. Примечательно, что код вредоносного файла содержит строки на польском языке.
NOVA, стиллер, используемый в кампании, собирает аутентификационные данные, записывает нажатия клавиш, делает скриншоты и извлекает данные из буфера обмена. Он может передавать собранные данные по протоколу SMTP. Кроме того, стилер потенциально способен отключать Microsoft Defender, диспетчер задач, редактор реестра и командную строку, хотя конкретный код, необходимый для выполнения этих действий, отсутствует.
Распространение NOVA происходит по модели malware-as-a-service, а в августе 2024 года была создана группа в Telegram для продвижения, продажи и технической поддержки стайлера. В дополнение к стайлеру разработчик предлагает криптор, цена которого варьируется от 50 до 630 долларов за стайлер и от 60 до 150 долларов за криптор. Данная кампания представляет значительную угрозу для российских организаций, поэтому им крайне важно знать о подобных атаках и принимать соответствующие меры для защиты своих систем и данных.
Indicators of Compromise
MD5
- 831582068560462536daaeef1eff8353
SHA1
- 15de4683cf8bed4d31660bdd69dca14ec4b71353
SHA256
- 8004a9c84332b68b0a613a5de9dcf639e415feb14b3da926e164375f3c5a3609
