Исследователи из Forcepoint выявили примечательную фишинговую кампанию, которая сочетает в себе классические фишинговые тактики и распространение вредоносных программ. К этой кампании примыкает использование образца из семейства вредоносных программ X-Worm/Formbook.
Детали фишинговой кампании
Фишинговое электронное письмо привлекает внимание благодаря обманчивому форматированию отправителя и стандартным приманкам, таким как:
- Срочные сообщения об ограничениях на хранение;
- Кнопка «Очистить хранилище», перенаправляющая на вредоносную страницу.
Фишинговая страница была размещена в Межпланетной файловой системе (IPFS), что придает ей дополнительную легитимность. Основная цель сайта — не только получение учетных данных пользователей, но и сбор контекстных данных о жертвах.
Технические аспекты атаки
Для повышения эффективности фишинга злоумышленники использовали внешний JavaScript-файл из geoplugin.net, который отслеживал:
- Геолокацию;
- Сведения о системе;
- Местное время.
Эта стратегия позволяет создать более персонализированный интерфейс и увеличивает шансы на успех атаки. Кроме того, содержимое фишинговой страницы было скрыто с помощью JavaScript, что значительно усложняет усилия по ее обнаружению.
Вредоносное вложение и его последствия
Электронное письмо также содержало вредоносное вложение в архиве RAR, не имеющее отношения к теме письма. После его выполнения содержимое архива активировало вредоносное ПО из семейства X-Worm/Formbook. Эта вредоносная программа функционирует с помощью .NET-скомпилированного загрузчика.
Таким образом, она:
- Доставляет полезную нагрузку на втором этапе;
- Использует методы антианализа, такие как задержки в режиме ожидания;
- Модифицирует систему, добавляя исключения для защитника Windows.
Также, вредоносное ПО создает запланированные задачи для обеспечения постоянного доступа, пытается взаимодействовать с внешними IP-адресами для потенциального управления операцией или утечки данных и использует внедрение кода для своей работы.
Реакция Forcepoint на угрозу
Данный гибридный подход к атакам подчеркивает адаптивные стратегии кибератакеров. Для противодействия подобным угрозам Forcepoint внедрила многоуровневую защиту, которая включает:
- Блокировку фишинговых электронных писем;
- Защиту от вредоносных вложений;
- Пресечение попыток перенаправления пользователей на фишинговые страницы.
Таким образом, кампания представляет собой эволюцию методов работы злоумышленников, объединяющих фишинг и вредоносное ПО, максимально увеличивая шансы на взлом систем безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Гибридный фишинг: новые угрозы кибербезопасности в 2023 году".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.