Опасный инфостилер маскируется под документы о нарушении авторских прав в Южной Корее

Рассылка осуществляется через электронную почту, где злоумышленники прикрепляют ссылки на загрузку файлов. В письмах содержится предупреждение о возможных юридических последствиях в случае игнорирования «доказательств». Среди примеров URL-адресов, используемых для распространения вредоноса, значатся замаскированные под легитимные сервисы ссылки, ведущие на фишинговые страницы.

Два типа атак

ASEC выделяет два основных метода, используемых злоумышленниками для заражения устройств. Первый основан на технике DLL Side-Loading, когда вредоносный код подменяет легитимные библиотеки в программах. Второй метод - использование двойных расширений файлов, что позволяет маскировать исполняемые файлы (EXE) под документы (PDF, DOCX).

В первом случае злоумышленники распространяют ZIP-архивы с названиями, вызывающими доверие: например, «Подтверждающие документы о нарушении интеллектуальных прав» или «Доказательства, подтвержденные расследованием». Внутри архивов находится легальное ПО (например, программа для чтения PDF) и вредоносная DLL. При запуске легитимного приложения загружается вредоносный код, активирующий инфостилер Rhadamanthys. Этот троянец внедряется в системные процессы Windows (например, openwith.exe, dialer.exe) и похищает данные: логины, пароли, данные банковских сервисов и FTP-клиентов.

Второй метод основан на социальной инженерии: пользователям предлагают открыть файлы с двойными расширениями, такими как «Evidence.pdf.exe». Поскольку операционные системы по умолчанию скрывают расширения, жертва видит только «Evidence.pdf» и считает файл безопасным. Внутри ZIP-архива также находится текстовый документ с инструкцией, побуждающей запустить вредоносный EXE-файл. После активации троянец завершает процессы, связанные с защитными инструментами (например, Process Hacker, Wireshark), а затем крадёт данные браузеров, делает скриншоты экрана и передаёт их на сервер злоумышленников.

Глобальный масштаб угрозы

Аналогичные атаки зафиксированы не только в Южной Корее, но и в других странах, включая Японию, Таиланд, Венгрию, Португалию и Грецию. В каждом регионе злоумышленники адаптируют названия файлов под местные языки, чтобы усилить эффект доверия. Например, в Японии распространяется файл «違反を示す証拠.pdf.exe» («Доказательство нарушения»), а в Таиланде - «เอกสารร้องเรียนเกี่ยวกับการละเมิดลิขสิทธิ์.exe» («Жалоба на нарушение авторских прав»).

Рекомендации по защите

Специалисты ASEC рекомендуют пользователям соблюдать осторожность при получении подозрительных писем, особенно если в них содержатся угрозы юридических последствий. Не следует открывать вложения или переходить по ссылкам, если отправитель вызывает сомнения. Важно проверять расширения файлов (включив их отображение в настройках системы) и использовать антивирусное ПО с актуальными базами сигнатур.

Кроме того, компаниям стоит обучать сотрудников основам кибергигиены, чтобы минимизировать риски заражения через фишинг. Внедрение систем мониторинга и анализа почтового трафика также поможет выявлять подобные угрозы на ранних стадиях.

Распространение инфостилеров под видом юридических документов - тревожный тренд, который требует повышенного внимания как со стороны пользователей, так и со стороны корпоративных служб информационной безопасности.

URLs

• http://147.124.219.157:3243/
• http://192.30.241.106:56001/
• https://laurayoung2169944-dot-yamm-track.appspot.com/2gwdQgyj0E2vzqvbGg2Q8Vfawz52qe38tVH-Y92ZoVgBqJibClgEzOCbYyqGbTJh0dKhw8GQbFc_Fesz7f9zrLq-2V-eP1KMh9_AEWIYxXvJBaYeQMZELdDvNm3D-jXjmCZhpz_vekp6k6wRmVhQAy8E8tvBKAmido8oujb3kXgIEfYHLKv2LcSBPU3qzwd3tG0yoQroSnpBWvxoJ0Cigir-WRpFZtmNqF9GzWiYvcbQYCA_FW112o2ZfGIvFBZS2YBmvm5iJcYtbCXPbhF_PffE2uiWA
• https://tr.ee/3FKnsw

MD5

• 64a145f3716c4fae76389ced81013e28
• ca58a723609057048c97ebd8f9b4d36f
• de432b951132ecad82a392d60f4682e1