В последние недели эксперты по кибербезопасности зафиксировали активность нового вредоносного загрузчика, получившего название ZPHP. Этот инструмент, написанный на языке JavaScript, распространяется через скомпрометированные или специально созданные злоумышленниками веб-сайты. Зловред маскируется под фальшивые обновления браузеров, что позволяет ему обманывать даже осторожных пользователей.
Описание
ZPHP действует как классический загрузчик (downloader), основная задача которого - доставка дополнительных вредоносных программ на устройства жертв. После успешного проникновения ZPHP обычно устанавливает инструмент удалённого доступа NetSupport, а также троянец-похититель данных Lumma Stealer. Таким образом, атака часто носит многоступенчатый характер, начинаясь с обмана пользователя и завершаясь кражей конфиденциальной информации.
Эксперты отмечают, что распространение через фальшивые обновления браузеров - это давно известный, но по-прежнему эффективный метод. Пользователи видят всплывающее окно с предложением обновить браузер для исправления уязвимостей или улучшения производительности. Если они соглашаются, то вместо легитимного обновления загружают и запускают скрипт ZPHP. Далее загрузчик связывается с управляемым злоумышленниками сервером, чтобы получить и запустить основную вредоносную нагрузку (payload).
Lumma Stealer, который часто доставляет ZPHP, представляет собой серьёзную угрозу. Этот стилер (stealer, похититель данных) специализируется на краже сохранённых в браузерах паролей, данных банковских карт, файлов cookie и информации из криптокошельков. Кроме того, он может собирать системные данные, которые помогают злоумышленникам адаптировать атаку под конкретную жертву. Установка NetSupport RAT (Remote Access Tool, инструмент удалённого доступа) предоставляет атакующим практически полный контроль над заражённым компьютером, позволяя незаметно выполнять команды, передавать файлы и долгое время сохранять своё присутствие в системе (persistence).
Анализ кода ZPHP показывает, что его создатели приложили усилия, чтобы затруднить обнаружение. Скрипт использует обфускацию - технику запутывания кода, которая усложняет работу антивирусным решениям и анализ исследователям безопасности. При этом он относительно лёгкий и не привлекает к себе внимания на начальном этапе.
Подобные кампании, использующие социальную инженерию, особенно опасны, потому что они эксплуатируют доверие пользователей к легитимным уведомлениям от программного обеспечения. Специалисты напоминают, что настоящие обновления браузеров и других приложений всегда следует загружать только с официальных сайтов разработчиков или через встроенные механизмы обновления внутри самих программ. Любые всплывающие окна на сайтах, требующие срочно что-то установить, должны вызывать подозрение.
Для защиты от таких угроз компаниям рекомендуется обучать сотрудников основам кибергигиены, объясняя типичные методы фишинга и социальной инженерии. На техническом уровне важно поддерживать актуальное состояние антивирусного ПО, использовать фильтрацию веб-контента и регулярно применять обновления безопасности для всех систем. Исследователи уже добавили сигнатуры ZPHP и связанных с ним угроз в базы ведущих производителей средств защиты, поэтому обновлённые решения должны детектировать эту атаку.
В целом, появление ZPHP ещё раз подчёркивает, что злоумышленники постоянно совершенствуют простые, но эффективные векторы атак. Они сочетают технические уловки, такие как обфускация кода, с психологическим давлением на пользователя, что в совокупности обеспечивает высокую вероятность успешного заражения. Отраслевым специалистам необходимо продолжать мониторинг подобных угроз и своевременно доводить информацию о них до широкой аудитории.
Индикаторы компрометации
Domains
- ahmm.ca
- anoteryo.top
- as5yo.top
- ashesplayer.top
- buyedmeds.top
- morniksell.com
- retiregenz.com
- trendings.top
- warpdrive.top
