Недавно была обнаружена вредоносная реклама, связанная с популярным коммуникационным инструментом Slack. Атакующий использовал несколько онлайн-инструментов, чтобы сузить список своих жертв и избежать обнаружения.
SecTopRAT
Реклама Slack выглядела легитимной и располагалась выше результатов органического поиска. Однако, она содержала скрытую вредоносную сущность, которая перенаправляла на страницу с ценами на официальном сайте Slack. После некоторого времени реклама начала перенаправлять на трекер кликов, что позволяет злоумышленнику направлять трафик на любой домен по своему усмотрению. Таким образом, запустив вредоносную страницу, злоумышленник предлагал ссылку на загрузку ничего не подозревающим пользователям.
Была также обнаружена кнопка загрузки, которая запускала загрузку файла с другого домена. Динамический анализ показал удаленное подключение к серверу, который ранее использовался троянцем удаленного доступа SecTopRAT. Эта полезная нагрузка уже использовалась в других вредоносных рекламных кампаниях.
Indicators of Compromise
Domains
- haiersi.com
- slack-download-for-windows.com
- slacklink.sng.link
- slack-windows-download.com
- zoom2024.online
SHA256
- 59e5e07ffa53ad721bc6b4c2ef435e08ae5b1286cda51415303978da474032d2
