Новая фишинговая кампания, направленная на нефтегазовый сектор, использует обновленную версию вредоносного программного обеспечения (ПО) под названием Rhadamanthys для кражи данных.
По словам исследователя Cofense Дилана Дункана, фишинговые электронные письма в этой кампании используют уникальные приманки, связанные с инцидентами в транспортном секторе, а на более поздних этапах заражения включают подделанный PDF-файл от Федерального бюро транспорта с упоминанием вымышленного штрафа за инцидент.
Эти сообщения содержат вредоносные ссылки, использующие уязвимость открытого перенаправления, чтобы перенаправить получателей на страницу, где они предполагают скачать PDF-документ, но на самом деле загружается ZIP-архив с вредоносной нагрузкой типа stealer.
Rhadamanthys, написанный на C++, предназначен для установления связи с сервером командования и управления (C2) для сбора конфиденциальных данных с зараженных хостов.
Эта фишинговая кампания началась вскоре после разгрома группы программ-вымогателей LockBit правоохранительными органами. В августе 2023 года Trend Micro представила вариант Rhadamanthys, который включал утечку полезной нагрузки LockBit, а также вредоносное ПО clipper и майнер криптовалют.
"Злоумышленники объединили программу-краденое и программу-вымогатель LockBit в один пакет Rhadamanthys, что свидетельствует о постоянной эволюции вредоносного ПО", - отмечают эксперты.
Это происходит на фоне появления новых семейств вредоносных программ-похитителей, таких как Sync-Scheduler и Mighty Stealer, а также совершенствования существующих разновидностей, таких как StrelaStealer, с использованием новых методов обфускации и антианализа.
В то же время наблюдается увеличение кампаний массовой рассылки, нацеленных на различные регионы, включая Индонезию, с использованием приманок, связанных с банковской деятельностью, для распространения вредоносного ПО Agent Tesla. Эти кампании также охватывают страны, такие как Австралия и США, и используются для кражи финансовых данных и личной информации.
Вредоносное ПО Agent Tesla, распространяемое в рамках этих кампаний, защищено Cassandra Protector, что делает его более трудным для обнаружения и анализа. Это открывает дорогу для новых угроз кибербезопасности и подчеркивает важность обновления систем защиты и обучения пользователей о методах предотвращения атак.
Обратитесь к нам, чтобы обучить ваших сотрудников кибербезопасности!