В последние недели киберпреступники активизировали фишинговую кампанию, нацеленную на страны Центральной и Восточной Европы, используя тему нарушения авторских прав для распространения вредоносного ПО Rhadamanthys Stealer. Об этом сообщает компания Cybereason, специализирующаяся на кибербезопасности. Атака отличается высокой степенью изощренности: злоумышленники применяют технику DLL side-loading, чтобы загрузить вредоносный код через легитимное приложение для чтения PDF-файлов, что позволяет обойти традиционные системы защиты.
Описание
Фишинговые письма, рассылаемые в рамках кампании, маскируются под уведомления от юридических фирм или правообладателей. В них утверждается, что получатель нарушил авторские права, размещая контент в социальных сетях, и требует немедленных действий во избежание судебных последствий. Для большей убедительности письма адаптированы под локальные языки и содержат ссылки на якобы доказательства нарушений. Эти ссылки ведут на поддельные страницы, где пользователю предлагается скачать архив с вредоносным содержимым.
Особенностью данной кампании является использование легитимного ПО Haihaisoft PDF Reader, которое злоумышленники переименовывают под документ, связанный с нарушением авторских прав (например, «Proof_of_copyright_infringement.exe»). Вместе с ним в архив помещается вредоносная DLL-библиотека (msimg32.dll), которая загружается в память процесса PDF-ридера благодаря уязвимости в механизме поиска DLL. После этого вредоносный код получает контроль над системой, устанавливает механизмы персистентности (например, добавляет себя в автозагрузку через реестр Windows) и загружает финальную полезную нагрузку - Rhadamanthys Stealer.
Rhadamanthys - это мощный инфостилер, способный красть сохраненные в системе учетные данные, cookies, данные автозаполнения форм, криптокошельки и другую конфиденциальную информацию. В отличие от многих других подобных программ, он использует сложные методы обхода детектирования, включая динамическое разрешение API-функций, шифрование shellcode и технику Heaven’s Gate для перехода между 32- и 64-битными режимами выполнения.
По данным Cybereason, кампания уже затронула пользователей в таких странах, как Германия, Италия, Польша, Испания, Великобритания и других. Однако эксперты не исключают, что в ближайшее время география атак может расшириться. Особую опасность эта угроза представляет для фрилансеров и малых творческих коллективов, работающих с мультимедийным контентом, так как они часто становятся мишенью из-за отсутствия корпоративных систем защиты.
Текущая волна атак демонстрирует, что киберпреступники продолжают совершенствовать свои методы, комбинируя социальную инженерию с техническими уловками. В таких условиях критически важно оставаться бдительным и применять комплексный подход к защите данных.
Индикаторы компрометации
IPv4
- 147.124.219.157
Domains
- humanitify.com
- humantily.com
- kiteaero.net
- omicomgr.com
- tranedg.com
- tranfedg.com
- xdaochain.net
URLs
- https://kiteaero.net/?u=https://www.mediafire.com/file_premium/p0n1kb5cjg81o89/Proof_of_copyright_infringement/file
- https://tr.ee/a3IIBd
SHA1
- 22cbe36e44d055ccb801b276c07708391f27f0d5
- 7526a425d342e19162e4905c7158e081e9b2704c
- 920a8803fd5f31c53cca3c0a0d6f5f217dc0d0ca
- ca6d2257206ec84ae8591c909569c6b613501ce9
- d3c08c5ddcaa1629981919f20cb3e1ec7b918e8e
- db7fba5f8ca2a2056c4a339b0398bc9967a03897
- ea503b6dfc49be09b3325ee1cee919468938f4a3
