Добавить в корзинуПозвонить
Найти в Дзене
Социальная инженерия в информационной безопасности
40 подписчиков

Proofpoint раскрывает новую технику социальной инженерии

1
1 мин
Компания Proofpoint обнаружила новую технику социальной инженерии, которая заставляет жертв копировать и вставлять вредоносные PowerShell-скрипты для заражения их компьютеров.
Этот метод нацелен на пользователей популярного браузера Google Chrome и был впервые замечен 1 марта в рамках кампании ClearFake attack. ClearFake - это фальшивое обновление браузера, которое заражает законные веб-сайты вредоносным HTML и JavaScript.
Когда пользователь посещает скомпрометированный сайт, ему показывается ложное предупреждение, предлагающее установить "корневой сертификат" для правильного доступа к странице. Сообщение содержит кнопку, которая копирует код в буфер обмена и инструктирует пользователя открыть окно PowerShell, вставить вредоносный код и запустить его. В ходе кампании, наблюдаемой Proofpoint в мае, вредоносный код выполнял такие функции, как очистка DNS-кэша, удаление содержимого буфера обмена, отображение приманочных сообщений и загрузка удаленного PowerShell-скрипта для выполнения


Компания Proofpoint обнаружила новую технику социальной инженерии, которая заставляет жертв копировать и вставлять вредоносные PowerShell-скрипты для заражения их компьютеров.

Этот метод нацелен на пользователей популярного браузера Google Chrome и был впервые замечен 1 марта в рамках кампании ClearFake attack. ClearFake - это фальшивое обновление браузера, которое заражает законные веб-сайты вредоносным HTML и JavaScript.

Когда пользователь посещает скомпрометированный сайт, ему показывается ложное предупреждение, предлагающее установить "корневой сертификат" для правильного доступа к странице. Сообщение содержит кнопку, которая копирует код в буфер обмена и инструктирует пользователя открыть окно PowerShell, вставить вредоносный код и запустить его.

В ходе кампании, наблюдаемой Proofpoint в мае, вредоносный код выполнял такие функции, как очистка DNS-кэша, удаление содержимого буфера обмена, отображение приманочных сообщений и загрузка удаленного PowerShell-скрипта для выполнения в памяти.

Удаленный скрипт PowerShell загружал другой скрипт, который проверял температуру системы для обнаружения виртуальных сред. Если ничего подозрительного не находилось, загружался четвертый скрипт, который скачивал файл с именем data.zip, извлекал содержимое и искал .exe файлы.

Этот метод использовался для загрузки полезных данных, включая майнинг криптовалют, а также для замены криптовалютных адресов в буфере обмена на адреса, контролируемые злоумышленниками.

"Цепочка атак уникальна и отражает общую тенденцию, которую наблюдает Proofpoint, когда киберпреступники внедряют новые, разнообразные и все более креативные схемы атак", - заявили исследователи Proofpoint. "Организациям следует обучать пользователей распознавать подозрительную активность и сообщать о ней своим службам безопасности. Это специфическое обучение, но его можно легко интегрировать в существующие программы обучения пользователей."

На нашем сайте вы можете скачать бесплатные инструменты для оценки и повышения киберграмотности своих сотрудников.

Информация взята из статьи Дилана Бушелл-Эмблинга

Кибербезопасность
25,6 тыс интересуются