Эксперты по кибербезопасности компании CTM360 обнаружили масштабную и изощренную кампанию по распространению вредоносного программного обеспечения, которая эксплуатирует доверие пользователей к сервисам Google. Вместо традиционных методов, злоумышленники активно используют площадки Google Groups (сервис для создания дискуссионных групп) и Google Discussions (функция обсуждений), чтобы под видом легитимного программного обеспечения, обновлений или корпоративных инструментов заманивать жертв на вредоносные ссылки. Эта атака демонстрирует новый уровень социальной инженерии, когда угроза проникает через каналы, изначально воспринимаемые как безопасные и профессиональные, что создает значительные риски для организаций по всему миру.
Описание
По данным исследователей, кампания носит глобальный характер. На данный момент идентифицировано более 4000 вредоносных групп в Google Groups и свыше 3500 URL-адресов на хостингах Google Docs и Google Drive, используемых для дистрибуции вредоносного кода. Для придания credibility, то есть правдоподобности, злоумышленники встраивают в названия групп, обсуждений и файлов ключевые слова, связанные с целевыми организациями, включая их официальные наименования. Это повышает шансы, что сотрудники компаний, нашедшие такой контент через поиск, воспримут его как легитимный внутренний или отраслевой ресурс.
Техническая механика атаки построена на детектировании операционной системы жертвы. При переходе по ссылке пользователь перенаправляется на промежуточный сервер, который анализирует его систему и выдает соответствующий вредоноснуюполезную нагрузку. Для пользователей Windows основной угрозой является инфостилер (программа для кражи данных) из семейства Lumma. После запуска замаскированного исполняемого файла этот stealer похищает учетные данные, сохраненные в браузерах, cookie-файлы, данные криптокошельков и другую конфиденциальную информацию, отправляя ее злоумышленникам.
Для пользователей Linux сценарий выглядит иначе, но не менее опасен. Им предлагается скачать так называемый «Ninja Browser» - браузер, который рекламируется как инструмент для обеспечения анонимности и защиты от отслеживания. Однако, как выяснилось в ходе анализа CTM360, это приложение является троянцем с широким спектром вредоносных возможностей. В основе «Ninja Browser» лежит движок Ungoogled-Chromium, что изначально может вызывать доверие у технически подкованных пользователей, ценящих конфиденциальность.
Главная опасность этого браузера кроется в предустановленном расширении с именем «NinjaBrowserMonetisation». Это расширение содержит высокообфусцированный, то есть намеренно усложненный для анализа, JavaScript-код, способный отслеживать действия пользователя с присвоением уникального ID, внедрять произвольные скрипты в веб-страницы, управлять вкладками и cookie-файлами, а также загружать и исполнять код с удаленных серверов. Все собранные данные предназначены для отправки на внешние хосты, контролируемые угрозакторами.
Особую тревогу вызывает механизм обеспечения persistence, то есть закрепления в системе. После установки «Ninja Browser» создает в системе планировщик задач (cron-задания в Linux), который на регулярной основе, ежедневно, обращается к серверу злоумышленников под видом проверки обновлений браузера. Критически важно, что процесс установки таких «обновлений» происходит в фоновом режиме, без какого-либо уведомления пользователя или запроса прав. Это создает идеальный канал для дистанционного управления: в любой момент злоумышленники могут доставить на все зараженные машины новый, более опасный payload, например, полноценный бэкдор или программы-вымогатели.
При дальнейшем анализе были выявлены дополнительные подозрительные признаки. Браузер по умолчанию использует малоизвестную поисковую систему «X-Finder», а также интегрирует страницу с сервисом «ai-search», который мимикрирует под легитимное расширение в Chrome Web Store, используя вводящие в заблуждение данные о разработчике. Эти элементы указывают на потенциальную связь кампании с дополнительными мошенническими схемами, такими как кликджекинг или подмена рекламы (malvertising).
Данная кампания наглядно иллюстрирует тренд на усложнение векторов начального compromise, то есть компрометации. Злоумышленники больше не полагаются только на фишинг в электронной почте. Они атакуют там, где бдительность пользователя и систем защиты ниже всего - внутри профессиональных форумов и корпоративных дискусионных площадок, используя доверие к бренду Google как прикрытие. Риски для организаций огромны: от масштабной утечки учетных данных и корпоративной информации до полного взятия под контроль рабочих станций и последующего перемещения по сети (lateral movement).
В качестве мер защиты эксперты рекомендуют компаниям ужесточить политики информационной безопасности. Необходимо проводить регулярное обучение сотрудников, акцентируя внимание на том, что угрозы могут исходить даже из доверенных источников. С технической стороны, важно внедрить строгие правила фильтрации веб-трафика, блокировать запуск неподписанного ПО с недоверенных источников, особенно исполняемых файлов, маскирующихся под обновления, и использовать решения класса EDR (Endpoint Detection and Response - системы обнаружения и реагирования на конечных точках) для выявления подозрительной активности, такой как создание автозагрузочных планировщиков или попытки связи с неизвестными внешними ресурсами. Мониторинг активности в публичных облачных сервисах, включая Google Workspace, на предмет нехарактерных обсуждений или файлов также должен стать частью рутинной практики SOC (Security Operations Center - центра мониторинга безопасности).
Индикаторы компрометации
IPv4
- 104.21.68.78
- 172.67.191.243
- 195.82.146.34
Domains
- healgeni.live
SHA256
- adbcad85bbb372a77da00e528bf564b1d82ad61e2956d902354197d40b11fd7f
