Недавно выявленная кампания по электронной почте направлена на организации в Испании, Италии и Португалии и использует множество методов уклонения для распространения троянской программы удаленного доступа (RAT), известной как Ratty. Злоумышленники применяют законные механизмы, чтобы обойти меры безопасности и ввести пользователей в заблуждение.
Как работает кампания?
Эта кампания использует преимущества поставщика услуг электронной почты serviciodecorreo. При этом гарантируется успешное прохождение проверки SPF (Sender Policy Framework), что обманывает системы безопасности. Основные элементы кампании включают:
- Электронные письма с вложениями, чаще всего в формате PDF или HTML.
- Кнопка, предлагающая загрузить дополнительный контент. Эта кнопка ссылается на файл в Dropbox под названием «Fattura» (что означает «Счет-фактура»).
- Техника социальной инженерии, привлекающая пользователей к скачиванию вредоносного контента.
Опасная полезная нагрузка
Вредоносная составляющая представляет собой jar-файл на основе Java, помеченный как «FA-43-03-2025.jar». Этот файл становится исполняемым лишь при наличии установленной Java Runtime Environment (JRE) на системе жертвы. Основные функции RAT включают:
- Выполнение удаленных команд.
- Перехват нажатий клавиш.
- Снимки экрана.
- Доступ к файлам на зараженной системе.
- Управление оборудованием, таким как веб-камеры и микрофоны.
Методы уклонения от обнаружения
Кампания также успешно обходит традиционные меры безопасности с помощью Ngrok — инструмента, который создает безопасные временные URL-адреса для локальных серверов. Ключевой особенностью этого подхода является:
- Фильтрация по геолокации, которая предоставляет различный контент в зависимости от места нахождения пользователя.
- Пользователи из Италии получают доступ к вредоносному JAR-файлу, в то время как пользователи из других стран видят безобидный документ на Google Drive.
Заключение
Сложность этой кампании заключается в том, что она сочетает в себе элементы социальной инженерии, законные платформы для обмена файлами и изощренные методы распространения вредоносного ПО. Используя Ratty в качестве маскировки под законные документы или программное обновление, злоумышленники скрывают свои злонамеренные намерения еще более эффективно. Это подчеркивает меняющийся ландшафт хакерских атак и иллюстрирует, как злоумышленники используют надежные платформы и разнообразные стратегии для эффективного распространения вредоносных программ, что усложняет процесс их обнаружения для систем безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция угроз: как Ratty обходит киберзащиту в Европе".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.