Лаборатория Netskope Threat Labs представила отчёт о серии фишинговых и вредоносных кампаний, нацеленных на пользователей, которые ищут документы в формате PDF. Эти кампании активно распространяют LegionLoader, используя хитроумные методы для обмана жертв и сбора их конфиденциальной информации.
Механизм атаки
Вектор атаки начинает действовать так: жертвы находят файлы, представляющиеся как PDF, через поисковые системы. При попытке доступа к этим документам они перенаправляются на поддельные страницы, где их встречают:
- Капчи
- Cloudflare Turnstile
Данные страницы предлагают пользователю включить уведомления браузера. Если же пользователь отклоняет эти уведомления, он может быть перенаправлен на безопасные приложения, такие как 7-Zip или Opera, но все равно в конечном итоге возвращается к вредоносной инфраструктуре.
Цепочка заражения
Цепочка заражения основывается на использовании законного приложения, подписанного VMware. При этом загружается вредоносная библиотека DLL, замаскированная под поддельную библиотеку OpenSSL. Этот процесс инициирует загрузку и выполнение LegionLoader через MSI-файл.
После запуска MSI-файла активируется mksSandbox.exe, который выполняет вредоносные функции. Для укрытия от обнаружения применяется обфускация шелл-кода с использованием специального алгоритма, работающего с 16-байтовым ключом.
Методы скрытности
LegionLoader использует различные операции для выделения памяти и хеширования API вместо обычных методов. Полезная нагрузка расшифровывается и выполняется с использованием метода выделения процесса во вновь созданном процессе explorer.exe. Выполняемая команда включает сценарий PowerShell для получения дополнительной полезной нагрузки.
Конечная цель
Конечной целью данной кампании является установка вредоносного расширения для браузера, маскирующегося под «Сохранить на Google Диске». Это расширение совместимо с несколькими браузерами, включая Google Chrome, Microsoft Edge, Brave и Opera.
После установки это расширение собирает конфиденциальные данные, такие как:
- Файлы cookie
- История посещенных страниц
- Содержимое буфера обмена
Оно также отслеживает действия с биткойнами и требует широких разрешений на доступ к данным браузера, что значительно увеличивает его потенциал для утечки данных.
Выводы
Эта постоянная угроза, использующая поиск подлинных PDF-документов, демонстрирует изощренные тактики вредоносных программ для доставки вредоносных данных и манипуляции конфигурациями браузера для кражи информации. Постоянное преследование лиц, ищущих документы, указывает на необходимость повышенной бдительности и принятия мер безопасности против таких хакеров.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новейшая вредоносная кампания: фишинг через поддельные PDF-документы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
