Специалисты по информационной безопасности предупредили, что в рамках недавно обнаруженной киберпреступной кампании хакеры начали использовать код Python-клона знаменитой игры Minesweeper («Сапёр») для Windows, чтобы скрыть вредоносные скрипты при атаках на финансовые организации Европы и США. Об этом накануне сообщило издание Bleeping Computer.
По словам аналитиков, эти киберпреступные операции проводятся хакерской группировкой, которая отслеживается как UAC-0188. Злоумышленники во время атак используют легальный код, чтобы скрыть вредоносные скрипты Python, загружающие и устанавливающие SuperOps RMM. SuperOps RMM — это легальное программное обеспечение для удалённого управления, которое предоставляет удалённым субъектам прямой доступ к скомпрометированным системам.
Эксперты также рассказали, что предварительное исследование наглядно показывает, что в результате этих кибератак с применением Python-клона игры «Сапёр» для Windows уже были успешно атакованы как минимум пять крупных финансовых организаций, находящихся в Соединённых Штатах и Европе.
Атака начинается с электронного письма, отправленного с адреса support@phase-docs-mail.com, выдающего себя за медицинский центр, с темой «Личный веб-архив медицинских документов».
Получателю предлагает загрузить файл .SCR размером 33 МБ по предоставленной ссылке на сервисе Dropbox. Этот файл содержит безобидный код из Python-клона игры «Сапёр», а также вредоносный код Python, который загружает дополнительные скрипты из удалённого источника (anotepad.com).
Добавление кода Minesweeper в исполняемый файл служит прикрытием для строки размером 28 МБ в кодировке Base64, содержащей вредоносный код, пытаясь сделать его безопасным для защитного программного обеспечения.
Кроме того, код «Сапёра» содержит функцию под названием create_license_ver, которая предназначена для декодирования и выполнения скрытого вредоносного кода, поэтому для маскировки и облегчения кибератаки используются легитимные программные компоненты.
Строка Base64 декодируется для сборки ZIP-файла, содержащего установщик MSI для SuperOps RMM, который в конечном итоге извлекается и выполняется с использованием статического пароля.
Оригинал публикации на сайте CISOCLUB: "Хакеры проводят атаки на пользователей с помощью вредоносного клона «Сапёра»".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
