Недавние исследования компании Forcepoint выявили уникальные методы, используемые киберпреступниками в их атаках. Хакеры начали сочетать традиционные методы фишинга с распространением вредоносных программ, что представляет собой новую угрозу для пользователей.
Описание атаки
Атака начинается с фишингового электронного письма. Основные аспекты этой атаки включают:
- Вводящий в заблуждение адрес отправителя
- Стандартное сообщение, призывающее получателя «Очистить хранилище»
- Перенаправление на фишинговый сайт, размещенный в IPFS (Межпланетной файловой системе)
Использование децентрализованной сети IPFS позволяет злоумышленникам сохранять устойчивость к удалению контента, что делает возможным постоянные попытки фишинга. Фишинговая страница не только пытается получить учетные данные, но и использует скрипт геолокации из geoplugin.net, собирая данные о местоположении пользователя и характеристиках системы. Это делает попытку фишинга более персонализированной и правдоподобной.
Технические аспекты вредоносного ПО
Критическим моментом атаки является наличие вложения в виде архива RAR, который содержит вредоносное ПО из семейства X-Worm/Formbook. После того как вложение извлечено и выполнено, оно запускается с помощью .NET-скомпилированного загрузчика, за которым следует полезная нагрузка второго этапа — также исполняемый файл .NET.
Использование .NET на обоих этапах предполагает оптимизированный подход к выполнению в памяти, направленный на обход механизмов обнаружения. Ключевые особенности поведения вредоносной программы включают в себя:
- Тактики антианализа: задержки в режиме ожидания, проверки наличия отладочных сред и обнаружение виртуальных машин
- Изменение хост-системы: создание исключений для защитника Windows и установка запланированных задач
- Контакт с внешними IP-адресами, что указывает на возможную передачу данных по каналу управления (C2) или утечку данных
- Внедрение кода: возможность внедрения вредоносной полезной нагрузки в законные процессы
Заключение
Гибридный подход к кибератакам, сочетающий фишинг и распространение вредоносного ПО, подчеркивает эволюцию тактик хакеров. Используя обе стратегии, злоумышленники значительно повышают свои шансы на успешную компрометацию.
Меры безопасности Forcepoint направлены на устранение данной многогранной угрозы через:
- Блокировку фишинговых сообщений электронной почты
- Обнаружение и нейтрализацию вредоносных вложений
- Блокирование подключений к потенциальной инфраструктуре C2
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Гибридные кибератаки: фишинг и вредоносное ПО в новом формате".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.