Cyble Research and Intelligence Labs (CRIL) выявила новую сложную кампанию по распространению вредоносного программного обеспечения, нацеленную на соискателей работы и специалистов в области цифрового маркетинга, особенно тех, кто работает с рекламными инструментами Meta* Ads. Злоумышленники используют изощренные методы обхода защиты, включая проверку на виртуальные машины и песочницы, а также защиту от отладки, чтобы оставаться незамеченными.
Описание
Атака начинается с фишинговых писем, в которых злоумышленники предлагают жертвам якобы важные документы в формате PDF. Однако вместо ожидаемого файла пользователь получает вредоносный LNK-ярлык, который при запуске активирует цепочку обфусцированных PowerShell-скриптов. Эти скрипты проверяют окружение, чтобы убедиться, что вредоносная программа не запущена в виртуальной среде или песочнице, что усложняет ее обнаружение системами безопасности.
После успешного выполнения начальных проверок вредоносная программа повышает свои привилегии в системе и сохраняет данные в скрытых каталогах. Для дополнительной маскировки используется шифрование AES, которое расшифровывается только в памяти после прохождения всех проверок. Финальным этапом атаки становится развертывание трояна удаленного доступа Quasar RAT, который предоставляет злоумышленникам полный контроль над зараженным устройством. С его помощью хакеры могут красть конфиденциальные данные, вести мониторинг действий пользователя и даже использовать систему для дальнейших атак.
CRIL связывает эту кампанию с вьетнамской хакерской группировкой, основываясь на схожести методов с предыдущими атаками, зафиксированными в июле 2022 года. С тех пор злоумышленники значительно усовершенствовали свои инструменты, добавив в арсенал дополнительные программы для кражи данных и другие RAT-трояны, что делает их атаки еще более опасными.
Эксперты отмечают, что подобные кампании представляют серьезную угрозу для специалистов по цифровому маркетингу и электронной коммерции, поскольку их работа часто связана с доступом к конфиденциальным данным рекламных кампаний и платежным системам. Чтобы минимизировать риски, пользователям рекомендуется проявлять осторожность при открытии вложений из незнакомых источников, использовать двухфакторную аутентификацию и регулярно обновлять антивирусное ПО.
Кибербезопасность становится все более важной в условиях роста цифровых угроз, и подобные инциденты лишний раз подчеркивают необходимость постоянной бдительности и применения современных средств защиты. CRIL продолжает мониторинг ситуации и рекомендует организациям усилить меры безопасности, особенно в сферах, связанных с обработкой персональных и финансовых данных.
Индикаторы компрометации
URLs
- https://www.dropbox.com/scl/fi/9p8no6tz85e09vg59kfwk/sav2_encrypt.txt?rlkey=hw7c83mq8uws216q3d4b1cfyi&st=4oycb9or&dl=1
SHA256
- 16ef774020e5754e4a8890789b7c798376a9521823c8897f9c97af5b33b27013
- 3de5e0b27c69c93b4c4b4812ed4453d4b81e99b7d407640a752e62e33b1ede2a
- 8229f281a93f18612a47843aa69e94312b52180e7f775fd58e5ea04608e23bd0
- 9a00d0859bc7a81d6e289a414c39aa2bd95319fa3d1d0e5f1be6d348604d640c
- b35452610c2cbc5a6a2bebd82af7c3883037b40be7072e43fc5989298bb26ea5
- d8bc59a1acf2f9a14a2fb96de979672dbed27d798eecc9454021f352f2bf973a
- dc616cc55a345e448a058368aea7c99ab9dd2a9c8ec42674312b66dbc29b7878
