Компания Cyble провела анализ злоумышленников, которые используют функции перехвата репутации и утилиту JamPlus для обхода системы Smart App Control (SAC).
Маневр для обхода Smart App Control (SAC)
Они доставляют вредоносную пользу, такую как краденый софт, используя эти методы. Злоумышленники разработали новый способ внедрения вредоносного программного обеспечения, маскируя его под легитимное приложение CapCut. Злоумышленники использовали утилиту JamPlus для выполнения вредоносных скриптов, избегая при этом обнаружения. Они проводят многоэтапную атаку, используя легитимные инструменты и репозитории кода, чтобы казаться легитимными и обойти традиционные меры безопасности. Конечной целью этой атаки является сбор конфиденциальной информации пользователей через вредоносную нагрузку NodeStealer и ее утечку через канал Telegram.
В атаке пользователь загружает вредоносный пакет с фишингового сайта CapCut, который выглядит подлинным. Пакет содержит легитимное приложение CapCut, утилиту JamPlus и вредоносный скрипт ".lua". После запуска приложения CapCut, оно запускает утилиту JamPlus, которая в свою очередь выполняет вредоносный скрипт. Злоумышленники используют перехват репутации для маскировки выполнения вредоносного скрипта и загружают пакетный файл с удаленного сервера. Они стремятся использовать методы без файлов для сохранения вредоносной нагрузки.
В этой кампании злоумышленники используют технику взлома репутации, используя утилиту JamPlus, чтобы обходить системы безопасности. Они создают фишинговый сайт, маскирующийся под загрузку CapCut, и заставляют пользователей загружать вредоносный пакет. Пакет содержит поддельное приложение CapCut, утилиту JamPlus и вредоносный скрипт ".lua". Затем они используют перехват репутации, чтобы скрыть выполнение вредоносного скрипта и загрузить конечную вредоносную нагрузку с удаленного сервера. Эта атака проводится через несколько этапов и использует комбинацию легитимных инструментов и репозиториев кода, чтобы обмануть системы безопасности.
В итоге, вредоносная нагрузка этой кампании, известная как NodeStealer, собирает конфиденциальную информацию пользователей и передает ее через канал Telegram. CapCut, популярное приложение для редактирования видео, становится всё более целью фишинговых атак. Злоумышленники используют недавно выявленные методы, такие как техника взлома репутации с помощью утилиты JamPlus, чтобы обойти средства контроля безопасности и повысить эффективность своих атак.
Indicators of Compromise
URLs
- https://cap-cutdownload.com/
- https://raw.githubusercontent.com/LoneNone1807/batman/main/steal.bat
SHA256
- 169f7d182f7838b75737c23e1b08c4b6b303d2d6a1cb73cdb87bd9644878a027
- 4e213bd0a127f1bb24c4c0d971c2727097b04eed9c6e62a57110d168ccc3ba10
- 56d3ba2b661e8d8dfe38bcef275547546b476c35d18aa4ec89eea73c2e2aeb7c
- 8e6bbe8ac1ecdd230a4dcafa981ff00663fae06f7b85b117a87917b6f04f894f
