Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Настоящая угроза: инфостилеры используют PowerShell для взлома Outlook

5
1 мин
Исследовательская группа SonicWall Capture Labs представила отчет о новой угрозе в области кибербезопасности — программе infostealer, использующей PowerShell. Вредоносное программное обеспечение внедряется с помощью HTA-файла (HTML-приложения), который доставляется пользователям по электронной почте. Эта кампания, по всей видимости, может быть как частью предыдущей фишинг-кампании, так и элементом более широкой стратегии атаки, направленной на компрометацию конфиденциальной информации. Основной механизм доставки включает в себя следующее: После запуска скрипт производит следующие операции: По завершении сбора данных скрипт передает адреса электронной почты на сервер управления (CnC), где он ожидает дальнейших указаний. Хотя непосредственной целью данной операции является кража адресов электронной почты Outlook, методология, использованная в атаке, указывает на возможность более масштабной кампании APT. Это может быть лишь первым шагом, за которым может последовать более серьезная вредо
Оглавление
Источник: www.sonicwall.com
Источник: www.sonicwall.com

Исследовательская группа SonicWall Capture Labs представила отчет о новой угрозе в области кибербезопасности — программе infostealer, использующей PowerShell. Вредоносное программное обеспечение внедряется с помощью HTA-файла (HTML-приложения), который доставляется пользователям по электронной почте. Эта кампания, по всей видимости, может быть как частью предыдущей фишинг-кампании, так и элементом более широкой стратегии атаки, направленной на компрометацию конфиденциальной информации.

Механизм доставки угрозы

Основной механизм доставки включает в себя следующее:

  • Включение HTA-файла в архив, отправляемый жертвам.
  • После выполнения полученный HTA-файл загружает сценарий PowerShell с указанного URL-адреса.
  • Для запуска сценария используется команда, обходящая ограничения политики выполнения: powershell.exe -ExecutionPolicy Bypass -File.

Работа и цели скрипта

После запуска скрипт производит следующие операции:

  • Проверяет наличие пути к Microsoft Outlook через переменную среды для каталога приложения.
  • Если Outlook не установлен (путь не найден), скрипт завершает работу.
  • Если Outlook присутствует, производится извлечение адресов электронной почты из каталога приложения.

По завершении сбора данных скрипт передает адреса электронной почты на сервер управления (CnC), где он ожидает дальнейших указаний.

Потенциальные последствия

Хотя непосредственной целью данной операции является кража адресов электронной почты Outlook, методология, использованная в атаке, указывает на возможность более масштабной кампании APT. Это может быть лишь первым шагом, за которым может последовать более серьезная вредоносная активность, направленная на получение доступа к широкому спектру данных и систем.

Данная информация подчеркивает важность повышения уровня кибербезопасности и бдительности пользователей при работе с электронными письмами, содержащими подозрительные вложения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Настоящая угроза: инфостилеры используют PowerShell для взлома Outlook".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются