В последнем инциденте, расследованном специалистами NCC Group, была выявлена сложная атака, в ходе которой злоумышленники использовали социальную инженерию и вредоносное ПО для кражи данных. Атака началась с фишинговой рекламы в Facebook*, которая заманивала пользователей на поддельный сайт, предлагая скачать фальшивый файл под видом инструмента искусственного интеллекта Grok AI.
Описание
Вместо ожидаемого файла жертвы получали вредоносный установщик ScreenConnect - легитимного инструмента удаленного администрирования, который злоумышленники использовали для закрепления в системе и последующей передачи других вредоносных программ. В данном случае основной угрозой оказался AsyncRAT - троян, способный похищать учетные данные, записывать нажатия клавиш и собирать данные браузеров.
Хронология атаки
В течение первого дня после заражения злоумышленники установили ScreenConnect как службу Windows, обеспечив себе постоянный доступ к системе. Через день на машину был передан и запущен AsyncRAT, а спустя несколько дней начался активный сбор данных: браузерные куки, автозаполняемые пароли и даже логи нажатий клавиш были упакованы в архив и, вероятно, отправлены злоумышленникам.
Техники и инструменты атакующих
Для первоначального доступа использовалась техника Drive-by Compromise - заманивание жертвы на фейковый сайт через рекламу в Facebook*. Затем для выполнения кода злоумышленники эксплуатировали уязвимости в доверии пользователей, заставляя их запустить поддельный файл. Дальнейшее распространение вредоносного ПО происходило через ScreenConnect, что позволило атакующим передавать файлы и управлять зараженной системой.
Особое внимание злоумышленники уделили скрытности: файлы были закодированы в Base64, использовались обфусцированные скрипты, а для выполнения кода в памяти применялись сложные механизмы, включая загрузчик Donut.
Финал атаки - похищение данных
Основной целью злоумышленников оказались учетные данные пользователя. Временные файлы содержали записи нажатий клавиш, а также архивы с куками и паролями из браузеров. Некоторые из этих данных, включая логины для Facebook и других сервисов, хранились в открытом виде, что значительно упростило их кражу.
Данный инцидент в очередной раз демонстрирует, насколько эффективными могут быть атаки с использованием социальной инженерии. Злоумышленники не только маскируют вредоносное ПО под легитимные программы, но и используют доверие пользователей к популярным брендам, таким как Grok AI, для успешного заражения систем. Бдительность и соблюдение базовых правил кибергигиены остаются ключевыми мерами защиты от подобных угроз.
* Организация Meta, а также её продукт Facebook, на который мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.
Индикаторы компрометации
IPv4
- 194.26.192.107
IPv4 Port Combinations
- 185.149.232.197:56001
Domains
- authenticate-meta.com
- canvadreamlab.xyz
- jtsec.innocreed.com
- openaigrok.com
SHA1
- 723d51af347d333f89a6213714ef6540520a55c9
- 9248d6cc80b61f3fe0b9d280b86a3aeff2aa73f0
