Изображение:
Turag Photography (unsplash)
Специалисты по информационной безопасности из TrueSec сообщили о выявлении новой киберпреступной кампании. В рамках этой операции злоумышленники используют два скомпрометированных аккаунта Office 365 для отправки фишинговых чат-сообщений от отдела кадров (HR).
Если пользователь переходит по предложенной в чате ссылке, на его устройство начинается загрузка вредоносного ПО DarkGate Loader с удаленного хоста. По данным специалистов компании TrueSec, хакеры получили доступ к аккаунтам с помощью вредоносного программного обеспечения и предложили их к продаже на черных рынках интернета.
Эта киберпреступная кампания была обнаружена в конце августа 2023 года. Фальшивые сообщения, отправляемые от имени отделов кадров крупных компаний, предлагают сотрудникам ознакомиться с «изменениями в графике отпусков», для чего нужно перейти по указанной ссылке и скачать архив.
Анализ этого архива показал, что в его составе находится вредоносное ZIP-вложение с файлом .lnk, маскирующимся под PDF-документ. Заражение запускается с помощью VBScript, а для выполнения загрузки используется инструментарий командной строки Windows cURL. В результате на устройство пользователя загружается модульный загрузчик DarkGate, также известный как MehCrypter. Этот вредонос был известен специалистам в области безопасности с 2017 года и может загружать криптомайнеры, другие вредоносные программы и обходить защиту многих известных антивирусов. Он также предоставляет удаленный доступ к устройству пользователя.
На данный момент активность DarkGate Loader отмечена экспертами TrueSec как высокая. По словам аналитиков, этим вредоносом пользуется пока одна хакерская группа, причем не в каждой своей атаке.
В августе 2023 года вредонос активно рекламировался на теневых форумах интернета в качестве MaaS (Malware-as-a-Service), что предполагает, что его присутствие в интернете может в ближайшее время заметно увеличиться. Пользователей в компании TrueSec предупредили, что для распространения DarkGate Loader могут использоваться не только фишинговые письма, но и торрент-трекеры, вредоносные рекламные баннеры и массовые email-рассылки.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
