Вредоносное ПО-загрузчик JavaScript, известное как SocGholish (он же FakeUpdates), используется для доставки трояна удалённого доступа под названием AsyncRAT, а также легитимного проекта с открытым исходным кодом под названием BOINC. Об этом накануне рассказали исследователи компании по кибербезопасности Huntress.
BOINC (сокращение от Berkeley Open Infrastructure Network Computing Client) — это платформа для «добровольных вычислений» с открытым исходным кодом, поддерживаемая Калифорнийским университетом с целью проведения «крупномасштабных распределённых высокопроизводительных вычислений» с использованием участвующих домашних компьютеров, на которых установлено приложение.
«В этом смысле он похож на майнер криптовалюты (использует компьютерные ресурсы для выполнения работы), и на самом деле он разработан для вознаграждения пользователей определённым типом криптовалюты под названием Gridcoin, разработанным специально для этой цели», — заявили исследователи Huntress Мэтт Андерсон, Олден Шмидт и Грег Линарес в отчёте, опубликованном на прошлой неделе.
Эти вредоносные установки предназначены для подключения к контролируемому субъектом домену (rosettahome[.]cn или rosettahome[.]top), по сути действуя как сервер управления и контроля (C2) для сбора данных хоста, передачи полезных нагрузок и отправки дальнейших команд. По состоянию на 15 июля к двум доменам подключено 10 032 клиента.
Компания по кибербезопасности заявила, что, хотя она не наблюдала никакой последующей активности или выполнения задач заражёнными хостами, она выдвинула гипотезу, что «подключения к хостам могут быть проданы в качестве первоначальных векторов доступа для использования другими субъектами и потенциально использованы для запуска программ-вымогателей».
Атаки SocGholish обычно начинаются, когда пользователи попадают на взломанные веб-сайты, где им предлагается загрузить поддельное обновление браузера, которое после выполнения запускает загрузку дополнительных полезных данных на заражённые машины. В этом случае загрузчик JavaScript активирует две несвязанные цепочки: одна приводит к развертыванию безфайлового варианта AsyncRAT, а другая — к установке BOINC.
Полная версия отчёта представлена по ссылке.
Оригинал публикации на сайте CISOCLUB: "Huntress: вредоносное ПО SocGholish использует проект BOINC для скрытых кибератак".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
