В последние дни специалисты по кибербезопасности обнаружили новую волну атак с использованием вредоносного ПО Qakbot, распространяемого через документы Microsoft OneNote. В отличие от предыдущих атак, злоумышленники теперь применяют комбинацию файлов OneNote и скомпрометированных файлов справки Windows (CHM) для обмана пользователей и внедрения вредоносного кода.
Описание
Атака начинается с того, что жертва получает поддельный файл OneNote, который внешне выглядит как официальный документ, связанный с Microsoft Azure. Внутри документа содержится кнопка Open ("Открыть"), при нажатии на которую автоматически создается и монтируется ISO-файл во временной папке компьютера. Это стандартная тактика социальной инженерии, при которой пользователь, не подозревая об угрозе, сам запускает вредоносный процесс.
Внутри ISO-файла находится CHM-документ, замаскированный под README-файл. CHM (Compiled HTML Help) - это формат справки Windows, который может содержать исполняемые скрипты. При его открытии жертва видит обычное окно справки о подключении к сети, что усыпляет бдительность. Однако в фоновом режиме запускается вредоносный сценарий PowerShell, скрыто выполняющий команды через командную строку (CMD).
Исследователи обнаружили, что закодированная команда PowerShell пытается загрузить дополнительные вредоносные файлы с нескольких URL-адресов и сохраняет их в папке %TEMP% под названием antepredicamentPersecutory.tuners. Вредоносные файлы, вероятно, представляют собой DLL-библиотеки, которые затем запускаются с помощью rundll32 - стандартного инструмента Windows для загрузки динамических библиотек.
Qakbot (также известный как Qbot или Pinkslipbot) - это банковский троян, который активно используется киберпреступниками с 2008 года. Помимо кражи финансовых данных, он может выступать в качестве загрузчика для других вредоносных программ, таких как ransomware (программы-вымогатели) или шпионские модули. В последнее время злоумышленники все чаще используют его в фишинговых кампаниях, маскируя под легитимные документы.
Эксперты отмечают, что использование CHM-файлов в таких атаках не ново, но они остаются эффективными, так как многие пользователи до сих пор считают их безопасными. Встроенная поддержка скриптов в формате CHM делает его удобным инструментом для киберпреступников, позволяющим обходить некоторые стандартные меры защиты.
Чтобы защититься от подобных угроз, рекомендуется:
- Никогда не открывать вложения из непроверенных источников, даже если они кажутся легитимными.
- Отключить автоматическое выполнение скриптов в файлах CHM через групповые политики Windows.
- Использовать антивирусные решения с функцией поведенческого анализа, способные обнаруживать скрытые процессы PowerShell и CMD.
- Регулярно обновлять операционную систему и программное обеспечение, чтобы минимизировать уязвимости.
Киберпреступники постоянно совершенствуют свои методы атак, и распространение Qakbot через OneNote и CHM - очередное подтверждение этого. Пользователям и ИТ-специалистам необходимо оставаться бдительными и повышать осведомленность о новых угрозах, чтобы предотвратить заражение и утечку конфиденциальных данных. В случае подозрения на компрометацию системы следует немедленно обратиться к специалистам по кибербезопасности для анализа и устранения угрозы.
Индикаторы компрометации
URLs
- https://carladvogadatributaria.com/tvnq9/i8zBwKW
- https://citytech-solutions.com/6Mh1k/OJMPf
- https://erg-eg.com/ocmb/xvjmmvS
- https://gsscorporationltd.com/okSfj/rAVykcQiX
- https://hotellosmirtos.com/sjn/uhidwrQ9Hz
- https://mrcrizquna.com/L7ccN/kz5AeBZ6
- https://nayadofoundation.org/wXaKm/SQ2wfto2vosn
- https://zainco.net/OdOU/9IAsdunbnH
MD5
- 2ce926649092b4aa642ba6ed1fe0f191
- dffd7026f7508ae69c1b23ebd33ed615
