Компания Proofpoint обнаружила новую технику социальной инженерии, которая заставляет жертв копировать и вставлять вредоносные PowerShell-скрипты для заражения их компьютеров.
Этот метод нацелен на пользователей популярного браузера Google Chrome и был впервые замечен 1 марта в рамках кампании ClearFake attack. ClearFake - это фальшивое обновление браузера, которое заражает законные веб-сайты вредоносным HTML и JavaScript.
Когда пользователь посещает скомпрометированный сайт, ему показывается ложное предупреждение, предлагающее установить "корневой сертификат" для правильного доступа к странице. Сообщение содержит кнопку, которая копирует код в буфер обмена и инструктирует пользователя открыть окно PowerShell, вставить вредоносный код и запустить его.
В ходе кампании, наблюдаемой Proofpoint в мае, вредоносный код выполнял такие функции, как очистка DNS-кэша, удаление содержимого буфера обмена, отображение приманочных сообщений и загрузка удаленного PowerShell-скрипта для выполнения в памяти.
Удаленный скрипт PowerShell загружал другой скрипт, который проверял температуру системы для обнаружения виртуальных сред. Если ничего подозрительного не находилось, загружался четвертый скрипт, который скачивал файл с именем data.zip, извлекал содержимое и искал .exe файлы.
Этот метод использовался для загрузки полезных данных, включая майнинг криптовалют, а также для замены криптовалютных адресов в буфере обмена на адреса, контролируемые злоумышленниками.
"Цепочка атак уникальна и отражает общую тенденцию, которую наблюдает Proofpoint, когда киберпреступники внедряют новые, разнообразные и все более креативные схемы атак", - заявили исследователи Proofpoint. "Организациям следует обучать пользователей распознавать подозрительную активность и сообщать о ней своим службам безопасности. Это специфическое обучение, но его можно легко интегрировать в существующие программы обучения пользователей."
На нашем сайте вы можете скачать бесплатные инструменты для оценки и повышения киберграмотности своих сотрудников.
Информация взята из статьи Дилана Бушелл-Эмблинга
