Cyble Research and Intelligence Labs (CRIL) обнаружила сложную кампанию по распространению вредоносного ПО, нацеленную на соискателей работы и специалистов по цифровому маркетингу, особенно тех, кто использует Meta Ads.
Quasar RAT
Вредоносная программа распространяется через фишинговые электронные письма, содержащие вредоносный LNK-файл, замаскированный под PDF. После запуска вредоносная программа использует серию обфусцированных сценариев PowerShell, предназначенных для обхода обнаружения средствами безопасности, используя такие методы, как проверка виртуальной машины и песочницы, а также методы защиты от отладки.
Многоступенчатый подход вредоносной программы включает в себя повышение привилегий и сохранение данных через скрытые каталоги. Для сокрытия вредоносной полезной нагрузки используется шифрование AES, которое расшифровывается в памяти только после прохождения многочисленных проверок безопасности. На заключительном этапе вредоносная программа развертывает троян удаленного доступа Quasar RAT, предоставляя злоумышленникам полный контроль над зараженной системой, позволяя красть данные, вести наблюдение и дальнейшую эксплуатацию.
CRIL приписывает эту кампанию вьетнамской группе, основываясь на ее специфической направленности, инструментах и методах, которые повторяют аналогичную кампанию, проведенную в июле 2022 года. С течением времени злоумышленники усовершенствовали свои методы, используя различные программы для кражи информации и RAT для расширения сферы своего влияния. По мнению CRIL, сложная тактика уклонения и использование Quasar RAT делают эту кампанию заметной угрозой для специалистов в области цифрового маркетинга и электронной коммерции.
Indicators of Compromise
URLs
- https://www.dropbox.com/scl/fi/9p8no6tz85e09vg59kfwk/sav2_encrypt.txt?rlkey=hw7c83mq8uws216q3d4b1cfyi&st=4oycb9or&dl=1
SHA256
- 16ef774020e5754e4a8890789b7c798376a9521823c8897f9c97af5b33b27013
- 3de5e0b27c69c93b4c4b4812ed4453d4b81e99b7d407640a752e62e33b1ede2a
- 8229f281a93f18612a47843aa69e94312b52180e7f775fd58e5ea04608e23bd0
- 9a00d0859bc7a81d6e289a414c39aa2bd95319fa3d1d0e5f1be6d348604d640c
- b35452610c2cbc5a6a2bebd82af7c3883037b40be7072e43fc5989298bb26ea5
- d8bc59a1acf2f9a14a2fb96de979672dbed27d798eecc9454021f352f2bf973a
- dc616cc55a345e448a058368aea7c99ab9dd2a9c8ec42674312b66dbc29b7878
