Исследователи кибербезопасности обнаружили новую волну фишинговых атак, целью которых является постоянно развивающийся похититель информации, известный как StrelaStealer.
Кампании затронули более 100 организаций в ЕС и США, сообщили исследователи 42-го подразделения Palo Alto Networks в новом отчете, опубликованном сегодня.
"Эти кампании приходят в виде спам-писем с вложениями, которые в конечном итоге запускают полезную нагрузку библиотеки DLL StrelaStealer", - говорится в опубликованном сегодня отчете компании.
"В попытке избежать обнаружения злоумышленники изменяют исходный формат файла вложения электронной почты от одной кампании к другой, чтобы предотвратить обнаружение по ранее сгенерированной подписи или шаблонам".
StrelaStealer, о котором впервые стало известно в ноябре 2022 года, оборудован для перекачки данных для входа в систему электронной почты от известных почтовых клиентов и передачи их на сервер, контролируемый злоумышленником.
С тех пор в ноябре 2023 и январе 2024 годов были обнаружены две крупномасштабные кампании с участием вредоносного ПО, нацеленные на высокотехнологичный, финансовый, профессиональный и юридический, производственный, государственный, энергетический, страховой и строительный секторы в ЕС и США.
Эти атаки также направлены на внедрение нового варианта stealer, который использует более совершенные методы обфускации и антианализа, распространяясь при этом через электронные письма на тему счетов с ZIP-вложениями, что знаменует переход от файлов ISO.
В ZIP-архивах присутствует файл JavaScript, который отправляет командный файл, который, в свою очередь, запускает полезную нагрузку stealer DLL с использованием rundll32.exe, законного компонента Windows, отвечающего за запуск 32-разрядных библиотек динамических ссылок.
Вредоносная программа stealer также использует набор приемов обфускации, затрудняющих анализ в изолированных средах.
"С каждой новой волной кампаний по электронной почте участники угроз обновляют как вложение электронной почты, которое запускает цепочку заражения, так и саму полезную нагрузку DLL", - сказали исследователи.
Компания Symantec, принадлежащая Broadcom, обнаружила, что поддельные установщики хорошо известных приложений или взломанное программное обеспечение, размещенное на GitHub, Mega или Dropbox, служат каналом для вредоносного ПО-воришки, известного как Stealc.
Также были замечены фишинговые кампании с поставками Revenge RAT и Remcos RAT (также известные как Rescoms), причем последние осуществлялись с помощью программы cryptors-as-a-service (CaaS) под названием AceCryptor, согласно ESET.
"Во второй половине [2023 года] Rescoms стали самым распространенным семейством вредоносных программ, выпускаемых AceCryptor", - сообщила компания по кибербезопасности со ссылкой на данные телеметрии. "Более половины этих попыток были совершены в Польше, за которой следуют Сербия, Испания, Болгария и Словакия".
Другие известные готовые вредоносные программы, внедренные в AceCryptor во второй половине 2023 года, включают SmokeLoader, STOP ransomware, RanumBot, Vidar, RedLine, Tofsee, Fareit, Pitou и Stealc. Стоит отметить, что многие из этих разновидностей вредоносных программ также распространялись через PrivateLoader.
Было обнаружено, что еще одна афера с социальной инженерией, обнаруженная Подразделением Secureworks по борьбе с угрозами (CTU), нацелена на лиц, которые ищут информацию о недавно умерших людях в поисковых системах с помощью поддельных уведомлений о некрологах, размещенных на поддельных веб-сайтах, привлекая трафик на сайты за счет поисковой оптимизации (SEO), отравляя их, чтобы в конечном итоге продвигать рекламное ПО и другие нежелательные программы.
"Посетители этих сайтов перенаправляются на сайты электронных знакомств или развлечений для взрослых или сразу же получают подсказки CAPTCHA, которые устанавливают веб-push-уведомления или всплывающие объявления при нажатии", - сказали в компании.
"В уведомлениях отображаются ложные предупреждения о вирусах от известных антивирусных приложений, таких как McAfee и Windows Defender, и они сохраняются в браузере, даже если жертва нажимает одну из кнопок".
"Кнопки ссылаются на законные целевые страницы антивирусных программ на основе подписки, а идентификатор партнера, встроенный в гиперссылку, вознаграждает участников угрозы за новые подписки или продления".
В настоящее время деятельность мошенников ограничивается пополнением казны с помощью партнерских программ, цепочки атак могут быть легко перепрофилированы для доставки похитителей информации и других вредоносных программ.
Разработка также последовала за обнаружением нового кластера активности, отслеживаемого как Fluffy Wolf, который использует фишинговые электронные письма, содержащие исполняемое вложение, для доставки коктейля угроз, таких как MetaStealer, Warzone RAT, XMRig miner и законный инструмент удаленного рабочего стола под названием Remote Utilities.
Кампания свидетельствует о том, что даже неквалифицированные злоумышленники могут использовать схемы "вредоносное ПО как услуга" (MaaS) для проведения масштабных успешных атак и хищения конфиденциальной информации, которую затем можно монетизировать для получения дополнительной прибыли.
"Несмотря на посредственные технические навыки, эти злоумышленники достигают своих целей, используя всего два набора инструментов: законные службы удаленного доступа и недорогое вредоносное ПО", - сказали в BI.ZONE.
Кампании затронули более 100 организаций в ЕС и США, сообщили исследователи 42-го подразделения Palo Alto Networks в новом отчете, опубликованном сегодня.
"Эти кампании приходят в виде спам-писем с вложениями, которые в конечном итоге запускают полезную нагрузку библиотеки DLL StrelaStealer", - говорится в опубликованном сегодня отчете компании.
"В попытке избежать обнаружения злоумышленники изменяют исходный формат файла вложения электронной почты от одной кампании к другой, чтобы предотвратить обнаружение по ранее сгенерированной подписи или шаблонам".
StrelaStealer, о котором впервые стало известно в ноябре 2022 года, оборудован для перекачки данных для входа в систему электронной почты от известных почтовых клиентов и передачи их на сервер, контролируемый злоумышленником.
С тех пор в ноябре 2023 и январе 2024 годов были обнаружены две крупномасштабные кампании с участием вредоносного ПО, нацеленные на высокотехнологичный, финансовый, профессиональный и юридический, производственный, государственный, энергетический, страховой и строительный секторы в ЕС и США.
Эти атаки также направлены на внедрение нового варианта stealer, который использует более совершенные методы обфускации и антианализа, распространяясь при этом через электронные письма на тему счетов с ZIP-вложениями, что знаменует переход от файлов ISO.
В ZIP-архивах присутствует файл JavaScript, который отправляет командный файл, который, в свою очередь, запускает полезную нагрузку stealer DLL с использованием rundll32.exe, законного компонента Windows, отвечающего за запуск 32-разрядных библиотек динамических ссылок.
Вредоносная программа stealer также использует набор приемов обфускации, затрудняющих анализ в изолированных средах.
"С каждой новой волной кампаний по электронной почте участники угроз обновляют как вложение электронной почты, которое запускает цепочку заражения, так и саму полезную нагрузку DLL", - сказали исследователи.
Компания Symantec, принадлежащая Broadcom, обнаружила, что поддельные установщики хорошо известных приложений или взломанное программное обеспечение, размещенное на GitHub, Mega или Dropbox, служат каналом для вредоносного ПО-воришки, известного как Stealc.
Также были замечены фишинговые кампании с поставками Revenge RAT и Remcos RAT (также известные как Rescoms), причем последние осуществлялись с помощью программы cryptors-as-a-service (CaaS) под названием AceCryptor, согласно ESET.
"Во второй половине [2023 года] Rescoms стали самым распространенным семейством вредоносных программ, выпускаемых AceCryptor", - сообщила компания по кибербезопасности со ссылкой на данные телеметрии. "Более половины этих попыток были совершены в Польше, за которой следуют Сербия, Испания, Болгария и Словакия".
Другие известные готовые вредоносные программы, внедренные в AceCryptor во второй половине 2023 года, включают SmokeLoader, STOP ransomware, RanumBot, Vidar, RedLine, Tofsee, Fareit, Pitou и Stealc. Стоит отметить, что многие из этих разновидностей вредоносных программ также распространялись через PrivateLoader.
Было обнаружено, что еще одна афера с социальной инженерией, обнаруженная Подразделением Secureworks по борьбе с угрозами (CTU), нацелена на лиц, которые ищут информацию о недавно умерших людях в поисковых системах с помощью поддельных уведомлений о некрологах, размещенных на поддельных веб-сайтах, привлекая трафик на сайты за счет поисковой оптимизации (SEO), отравляя их, чтобы в конечном итоге продвигать рекламное ПО и другие нежелательные программы.
"Посетители этих сайтов перенаправляются на сайты электронных знакомств или развлечений для взрослых или сразу же получают подсказки CAPTCHA, которые устанавливают веб-push-уведомления или всплывающие объявления при нажатии", - сказали в компании.
"В уведомлениях отображаются ложные предупреждения о вирусах от известных антивирусных приложений, таких как McAfee и Windows Defender, и они сохраняются в браузере, даже если жертва нажимает одну из кнопок".
"Кнопки ссылаются на законные целевые страницы антивирусных программ на основе подписки, а идентификатор партнера, встроенный в гиперссылку, вознаграждает участников угрозы за новые подписки или продления".
В настоящее время деятельность мошенников ограничивается пополнением казны с помощью партнерских программ, цепочки атак могут быть легко перепрофилированы для доставки похитителей информации и других вредоносных программ.
Разработка также последовала за обнаружением нового кластера активности, отслеживаемого как Fluffy Wolf, который использует фишинговые электронные письма, содержащие исполняемое вложение, для доставки коктейля угроз, таких как MetaStealer, Warzone RAT, XMRig miner и законный инструмент удаленного рабочего стола под названием Remote Utilities.
Кампания свидетельствует о том, что даже неквалифицированные злоумышленники могут использовать схемы "вредоносное ПО как услуга" (MaaS) для проведения масштабных успешных атак и хищения конфиденциальной информации, которую затем можно монетизировать для получения дополнительной прибыли.
"Несмотря на посредственные технические навыки, эти злоумышленники достигают своих целей, используя всего два набора инструментов: законные службы удаленного доступа и недорогое вредоносное ПО", - сказали в BI.ZONE.
