Кампания RedCurl, ранее известная своими атаками на финансовые организации в России, теперь использует легитимный компонент Windows Program Compatibility Assistant (PCA) для скрытого выполнения вредоносных команд. Этот инструмент, предназначенный для устранения проблем со старыми программами, теперь стал центральным элементом новой кампании группировки.
RedCurl начинает свои атаки с фишинговых писем, содержащих вредоносные вложения в форматах ISO и IMG. После активации этих вложений, запускается многоэтапный процесс, включающий загрузку утилиты curl с удаленного сервера. Через эту утилиту загружаются библиотеки загрузчиков (ms.dll или ps.dll), которые затем используют вредоносную DLL для установления связи с доменом и загрузки пейлоада. Для выполнения дополнительных команд в операционной системе злоумышленники также используют открытое ПО Impacket.
Эти новые методы атак RedCurl, раскрытые компанией Trend Micro, позволяют группировке злоумышленников продолжать свои киберпреступные операции, нацеленные на организации по всему миру. Специалисты F.A.C.C.T. обнаружили новую вредоносную кампанию RedCurl, которая в настоящее время нацелена на организации в Австралии, Сингапуре и Гонконге, активно атакуя строительный, логистический и добывающий секторы экономики.
Для защиты от подобных угроз, важно обучать сотрудников компании навыкам и правилам кибербезопасности. Обучение поможет предотвратить атаки фишингом и защитить организацию от утечек данных и финансовых потерь. Материалы для обучения сотрудников по вопросам кибербезопасности можно скачать на нашем сайте - это бесплатно. Помните, что безопасность вашей компании зависит от обученности ваших сотрудников!