Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Атака «The Phantom Meet»: Удар по пользователям криптовалюты

2 мин
Кампания ClickFix, в частности ее вариант, известный как «The Phantom Meet», представляет собой сложную атаку социальной инженерии, организованную хакерскими группами «Slavic Nation Empire» и «Scamquerteo». Этот отчет освещает методы, используемые в данной кампании, а также её цели и воздействие на пользователей, особенно среди энтузиастов криптовалюты. Кампания ClickFix в основном использует вредоносные программы infostealer, включая такие как Stealc, Rhadamanthys и AMOS Stealer. Для достижения своих целей используются различные уязвимости и тактические приемы: Атака начинается с фишинговых электронных писем или взломанных веб-сайтов, которые имитируют сообщения об ошибках Google Meet. Когда пользователи попадают на эти поддельные страницы, они получают сфабрикованные сообщения об ошибках, подталкивающие их к устранению несуществующих проблем. Этот обман в конечном итоге приводит к выполнению вредоносных команд PowerShell или терминала, позволяя загружать и устанавливать вредоносное П
Оглавление
Источник: cybersecsentinel.com
Источник: cybersecsentinel.com

Кампания ClickFix, в частности ее вариант, известный как «The Phantom Meet», представляет собой сложную атаку социальной инженерии, организованную хакерскими группами «Slavic Nation Empire» и «Scamquerteo». Этот отчет освещает методы, используемые в данной кампании, а также её цели и воздействие на пользователей, особенно среди энтузиастов криптовалюты.

Методы атаки

Кампания ClickFix в основном использует вредоносные программы infostealer, включая такие как Stealc, Rhadamanthys и AMOS Stealer. Для достижения своих целей используются различные уязвимости и тактические приемы:

  • T1071: Протокол прикладного уровня
  • T1204: Пользовательское выполнение
  • T1566: Фишинг
  • T1059.001: PowerShell

Процесс атаки

Атака начинается с фишинговых электронных писем или взломанных веб-сайтов, которые имитируют сообщения об ошибках Google Meet. Когда пользователи попадают на эти поддельные страницы, они получают сфабрикованные сообщения об ошибках, подталкивающие их к устранению несуществующих проблем. Этот обман в конечном итоге приводит к выполнению вредоносных команд PowerShell или терминала, позволяя загружать и устанавливать вредоносное ПО infostealer.

Цели и последствия

Вредоносное ПО предназначено для извлечения конфиденциальных данных, включая:

  • Учетные данные пользователей
  • Информацию о криптовалютных кошельках

С целью маскировки вредоносных скриптов и уклонения от обнаружения используются передовые методы обфускации, такие как кодировка Base64. Кампания продемонстрировала свою эффективность как на Windows, так и на macOS, уделяя особое внимание пользователям в Польше, что свидетельствует о целенаправленной адаптации к географическим интересам.

Заключение

Поведение вредоносной программы характеризуется ее способностью извлекать ценные данные и сохранять скрытность, благодаря использованию сценариев PowerShell, которые могут загружать дополнительную полезную нагрузку и выполнять дополнительные команды. Тактика, используемая в кампании ClickFix, подчеркивает важность повышения осведомленности пользователей о возможных киберугрозах и необходимости использования современных методов защиты своих данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Атака "The Phantom Meet": Удар по пользователям криптовалюты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются