Кибератака через поддельный медиасайт: как злоумышленники заражали компьютеры с помощью SQRoot Stealer

Атака начиналась с того, что пользователи, посещавшие скомпрометированный сайт, сталкивались с автоматической загрузкой LZH-файла. Этот архивный формат не является распространенным, поэтому многим жертвам предлагалось установить специальное ПО для его распаковки. Однако вместо безопасного инструмента пользователи получали вредоносный LNK-файл, который, в свою очередь, содержал ZIP-архив с опасным содержимым. Внутри архива находился VBS-скрипт, отвечающий за извлечение и запуск вредоносного кода, а также легитимный файл iusb3mon.exe, который использовался для маскировки атаки.

Основным вредоносным компонентом оказалась библиотека dmiapi32.dll, которая добавляла в систему новую сессию с названием newimp и загружала дополнительные модули. Главным зловредом в этой атаке стал SQRoot - многофункциональный троян, способный загружать дополнительные плагины с сервера злоумышленников. Эти плагины включали в себя RAT (Remote Access Trojan), позволяющий злоумышленникам удаленно контролировать зараженную машину, а также shell-коды для выполнения произвольных команд.

Особенностью SQRoot была его способность шифровать передаваемые данные, что затрудняло обнаружение атаки системами защиты. Кроме того, троян работал только в определенные часы - с 9:00 до 18:00 по будням, имитируя обычный веб-трафик и снижая вероятность обнаружения. Помимо SQRoot, на зараженных компьютерах был обнаружен еще один опасный модуль - SQRoot Stealer, специализирующийся на краже конфиденциальных данных. Этот зловред мог перехватывать нажатия клавиш (keylogger), делать скриншоты экрана и передавать украденную информацию на серверы злоумышленников.

Анализ инцидента показал, что злоумышленники использовали несколько файлов с поддельными именами, такими как nvSmart.exe, nusmartmax.dll, iusb3mon.exe и iusb3mon.dll, чтобы избежать обнаружения антивирусными решениями. Несмотря на тщательное расследование, атрибуция атаки до сих пор остается под вопросом - неизвестно, какая именно киберпреступная группа стояла за этой кампанией.

Эксперты по кибербезопасности рекомендуют пользователям соблюдать повышенную осторожность при загрузке файлов с непроверенных сайтов, особенно если речь идет о редких форматах архивов. Также важно регулярно обновлять антивирусное ПО и использовать средства защиты от фишинга и других видов кибератак. Данный инцидент в очередной раз демонстрирует, насколько изощренными становятся методы киберпреступников и почему важно оставаться бдительными в цифровом пространстве.

IPv4

• 158.247.192.54

Domains

• dict.digibulk.live
• gogo.qiohanwy.store
• mnc.poiuuioq.space

SHA256

• 0be4b77b667af42771189d697644b1760ce7c3d341a0d8d06fed0a81c4a1e253
• 154cbce8afc48bc6d0f59726250fe7b9981ecdd0ce44fad48a3a662e3eb64135
• 41de808ce98285d750766d2a5b96cb8ddd972e282501dede2d5032de380f2146
• 6988afa7950e0cecdc24e472f7e31ce855a29458c3b908554bf473686a97069b
• a30943c524cbf5989ca74d3d78709d40a82da2bc760afe938fa76cd21c443484
• bb0c9d80220a93c2f9fe442f3a2ef2b41db44d9367483c8f22a25732478af82a
• f4cd4b51df47ba50c870657ff094c3355a6567f3cc77abcc4894cdaf57b2f0bd