Главная страница » Индикаторы компрометации
0
1 минута
Индикаторы компрометации

Опасные вирусы XWorm и Katz Stealer распространяются через облачное хранилище почтовых сервисов

Stealer

В последние дни специалисты CERT-AGID (Итальянского национального центра реагирования на киберугрозы) обнаружили новую масштабную кампанию по распространению вредоносного ПО. Злоумышленники используют облачное хранилище, привязанное к популярному итальянскому почтовому сервису, для загрузки и распространения опасных вирусов - XWorm и Katz Stealer. Эти вредоносные программы предназначены для кражи конфиденциальных данных пользователей, включая логины, пароли и другие учетные записи.

Описание

Атака начинается с рассылки фишинговых писем, содержащих ссылку на зараженный файл, размещенный в облачном хранилище почтового сервиса. При переходе по ссылке жертва скачивает архив TAR, внутри которого находится JavaScript-файл объемом более 57 тысяч строк. Большая часть кода представляет собой бессмысленные или повторяющиеся функции, добавленные злоумышленниками для затруднения анализа. Реальная вредоносная нагрузка скрыта в небольшом фрагменте кода, который декодирует зашифрованную команду PowerShell, закодированную в Base64.

После декодирования PowerShell-скрипт выполняет несколько действий. Во-первых, он извлекает новую строку Base64 (предварительно инвертированную), которая ведет к дополнительным ресурсам в том же облачном хранилище. Во-вторых, скрипт загружает изображение размером 2,6 МБ, в котором скрыт вредоносный код с использованием стеганографии. Алгоритм извлечения данных построен на анализе цветовых каналов RGB: первые четыре байта определяют длину полезной нагрузки, а последующие содержат сам вредоносный код.

Извлеченный файл оказался новым для CERT-AGID - это Katz Stealer, троянец-похититель данных, распространяемый по модели Malware-as-a-Service (MaaS). Katz Stealer специализируется на краже учетных данных: он сканирует систему в поисках сохраненных паролей, cookies и других конфиденциальных данных, которые затем передает на сервер злоумышленников.

Но на этом атака не заканчивается. PowerShell-скрипт также загружает второй файл - xwormdotnet.txt, содержащий инвертированный Base64-код. После декодирования и преобразования в исполняемый файл этот код внедряется в легитимный процесс MSBuild.exe. Так в систему проникает XWorm - мощный бэкдор, позволяющий злоумышленникам удаленно управлять зараженным компьютером, воровать данные и даже подключаться к другим устройствам в сети.

Сервер управления и контроля (C2), с которым связывается XWorm, уже идентифицирован, но его точное местоположение и владельцы пока остаются неизвестными. CERT-AGID оперативно уведомил почтовый провайдер, который заблокировал вредоносные ресурсы.

Эксперты по кибербезопасности рекомендуют пользователям соблюдать осторожность при открытии вложений и переходе по ссылкам из подозрительных писем. Особую угрозу представляют файлы, размещенные в облачных хранилищах, поскольку они часто воспринимаются как доверенные. Для защиты от подобных атак следует использовать антивирусное ПО с актуальными сигнатурами, регулярно обновлять системы и применять двухфакторную аутентификацию для важных учетных записей.

Данный инцидент в очередной раз демонстрирует, что злоумышленники активно эксплуатируют доверие пользователей к легитимным сервисам. Облачные хранилища, почтовые провайдеры и другие онлайн-платформы становятся инструментами в руках киберпреступников, что требует повышенной бдительности как со стороны пользователей, так и со стороны компаний, предоставляющих эти сервисы.

Индикаторы компрометации

Domains

  • privatedns.huishengzhang.com

URLs

  • https://webmail.aruba.it/newuismart/cgi-bin/ajaxfile?ACT_FIL_DL=1&PUBLICUID=@1.NmhhRVpyZlhSQldEbXFBRm54VjFwRHB2TjJmNzJOVTR2a213MUJka09peDcrc2hRRU1pcElGcmFRVFVaNmI3WA==
  • https://webmail.aruba.it/newuismart/cgi-bin/ajaxfile?ACT_FIL_DL=1&PUBLICUID=@1.NmhhRVpyZlhSQldEbXFBRm54VjFwSk8ybzlhdHA0OWI2dWN2YnIxMTNjdnJnUnd1RGQwOTU2NDBCeEU4TzRyYw==
  • https://webmail.aruba.it/newuismart/cgi-bin/ajaxfile?ACT_FIL_DL=1&PUBLICUID=@1.NmhhRVpyZlhSQldEbXFBRm54VjFwSlZXdTN6dVlxTHJSL1JIbVNUS1h3MXZwUmpxMlozVDRYbkZaV0VQTmlTRQ==

MD5

  • 3a086603c7392a2d4e8f7ec451bf3285
  • 77b12de6d5e8b2ba87ab8d7deeb7f21f
  • 7c61974448ebca8c624c024f3b76ae12
  • ae08491a15711b82fc32873b9c730991

SHA1

  • 5b6f5a2a14cfb1b088095f9be10ed7a2ce1afddb
  • 8a5ec4d686cf233b6f950cbca800c247e9851496
  • a56ccd7c7bfd0036daf714a0f857b405d527fad3
  • bef3b24c98819019e3a2173b19efd7ea23e4c5ab

SHA256

  • 0190b9f0694ae659f5d83bb0dcbeafac9de1244a59a5550ebf959c3bf2098c47
  • 95921be9c01fa8f78dd2f1ebee10c76dd7a996c55f57c0d7a4f3561faa8727c1
  • bfc12d4d2462c919ff225cab92df822b5f74ace52b2b8fe8c10d5024170b25ca
  • d965f50abd11d24df258bb9c544c8719b82fa92a8b1dafdb65099824e805c4d1
Комментарии: 0
Похожие записи
0
23.06.2025
Индикаторы компрометации

Кибергруппа Room155: как хакеры атакуют российские компании с помощью фишинга и вредоносного ПО

APT
В мире кибербезопасности нет ничего тайного, что не стало бы явным. Даже самые изощренные злоумышленники, меняющие инфраструктуру и инструменты, оставляют следы, которые позволяют экспертам раскрывать их деятельность.
0
23.06.2025
Индикаторы компрометации

Telegram как опасный канал кибератак: эксперты раскрывают новые схемы мошенников и вредоносное ПО

information security
Популярный мессенджер Telegram превратился в эпицентр киберугроз, где злоумышленники изобретают изощрённые методы атак, эксплуатируя доверие пользователей и функциональность платформы.
0
23.06.2025
Индикаторы компрометации

Киберпреступники обманывают друг друга: как фальшивое ПО для отправки USDT заражает системы вредоносными программами

Stealer
В последние годы инфостилеры стали одной из самых серьезных угроз в киберпространстве, и их распространенность продолжает расти. Однако нередко сами злоумышленники становятся жертвами своих же коллег.
0
23.06.2025
Индикаторы компрометации

AsyncRAT: Как киберпреступники обходят защиту и крадут данные

remote access Trojan
Кибербезопасность остается одной из самых актуальных тем в современном цифровом мире, и новое исследование компании Halcyon подтверждает, что злоумышленники продолжают совершенствовать свои методы атак.