Компания Cyble Research and Intelligence Labs (CRIL) обнаружила активную вредоносную кампанию в США, которая нацелена на бизнесменов. Кампания использует вредоносный LNK-файл, который маскируется под PDF и использует certutil.exe для декодирования полезной нагрузки. Вредоносный файл HTA затем выполняет документ-приманку и вредоносный DLL-файл, которые являются компонентами Ursnif - банковского трояна. Злоумышленник использует многоступенчатую операцию, выполненную полностью в памяти, чтобы избежать обнаружения.
Описание
Кампания начинается с вредоносного LNK-файла, который маскируется под PDF и часто доставляется через спам-письма. При открытии файла LNK запускается cmd.exe и используется certutil.exe для декодирования вредоносного содержимого и запуска следующей стадии. Файл HTA содержит VBScript, который извлекает и выполняет документ-приманку и вредоносный DLL-файл, встроенные в HTA-файл. DLL-файл служит загрузчиком и расшифровывает полезную нагрузку и шелл-код, а затем выполняет основной компонент Ursnif.
Ursnif устанавливает соединение с C&C-сервером, чтобы загрузить дополнительные модули для кражи конфиденциальной информации с компьютера жертвы. Кампания выполняется таким образом, чтобы обойти продукты безопасности и избежать обнаружения. CRIL выявил, что кампания скорее всего нацелена на бизнес-профессионалов в США.
Кампания использует различные методы маскировки, включая подставные имена файлов, загрузку вредоносных файлов в память и декодирование данных с использованием легитимных инструментов Windows, таких как certutil.exe. Целью кампании является кража конфиденциальной информации с компьютеров жертв, что делает Ursnif опасным угрозой для бизнесменов и предпринимателей.
Это открытие позволяет CRIL дальше исследовать действия злоумышленников и предпринять меры, чтобы предупредить атаки и принять меры по защите пользователей. Тем временем, бизнесменам и организациям рекомендуется быть внимательными при открытии вложений в электронной почте и обновлять свои программы и системы безопасности для предотвращения таких атак.
Indicators of Compromise
URLs
- budalixt.top/index.html
- https://betterbusinessbureau-sharefile.com/api/key
- https://docusign-staples.com/api/key
SHA256
- 11a16f65bc93892eb674e05389f126eb10b8f5502998aa24b5c1984b415f9d18
- 13560a1661d2efa15e58e358f2cdefbacf2537cad493b7d090b5c284e9e58f78
- 468d7a8c161cb7408037797ea682f4be157be922c5f10a812c6c5932b4553c85
- aea3ffc86ca8e1f9c4f9f45cf337165c7d0593d4643ed9e489efdf4941a8c495
- dd20336df4d95a3da83bcf7ef7dd5d5c89157a41b6db786c1401bf8e8009c8f2
- fdc240fb8f4a17e6a2b0d26635d8ab613db89135a5d95834c5a888423d2b1c82
