Фишинговая кампания с использованием нарушения авторских прав нацелена на Центральную и Восточную Европу
Недавние наблюдения служб кибербезопасности Cybereason выявили масштабную фишинговую кампанию, в которой злоумышленники используют ложные обвинения в нарушении авторских прав в качестве приманки. Основная цель атаки — отдельные пользователи из Центральной и Восточной Европы, преимущественно профессионалы, работающие с мультимедийным контентом.
Механизм атаки и используемые технологии
В основе кампании лежит вредоносное ПО Rhadamanthys stealer, распространяемое с использованием технологии боковой загрузки библиотек DLL (DLL side-loading). Злоумышленники маскируют вредоносные библиотеки под компоненты легитимных приложений, например, безопасного PDF-ридера, что позволяет выполнять вредоносный код в контексте доверенного процесса. Такая тактика значительно затрудняет обнаружение вредоносных действий.
- Фишинговые письма содержат ложные утверждения о нарушении авторских прав и призывают получателя к немедленному удалению «незаконного» контента.
- Загрузка вредоносных файлов происходит через популярные платформы — Mediafire и Dropbox, с использованием недавно зарегистрированных доменов для сокрытия источника.
- При запуске загруженных файлов происходит последовательное заражение, включающее развертывание вредоносной DLL и легитимного исполняемого файла, замаскированного под PDF-ридер.
- Вредоносная библиотека DLL внедряет постоянство, модифицируя ключи автозапуска в реестре Windows.
Целевые аудитории и потенциальные риски
Атака в первую очередь ориентирована на специалистов в области мультимедиа, которые активно используют инструменты для обработки контента, такие как ffmpeg.dll. Чаще всего жертвами становятся фрилансеры и подрядчики, что обусловлено их сниженным уровнем корпоративных мер безопасности. Компрометация таких пользователей часто открывает врата для дальнейшего проникновения в более широкие сетевые инфраструктуры организаций.
Технический анализ и особенности вредоносного ПО
Эксперты Cybereason отмечают использование в Rhadamanthys stealer прогрессивных методов обхода систем безопасности:
- Динамическое разрешение указателей функций API и применение косвенных системных вызовов, что позволяет обходить перехват API на пользовательском уровне.
- Многоступенчатый шелл-код, активируемый при загрузке вредоносной DLL, которая стратегически размещается в том же каталоге, что и легитимный исполняемый файл, для эксплуатации стандартного порядка поиска DLL в Windows.
- Использование TLS-обратных вызовов (TLS callbacks) для выполнения вредоносного кода до начала стандартного входа в DLL, повышая скрытность.
- Методы обфускации кода и антивзломные техники, затрудняющие анализ и обнаружение вредоносного ПО средствами безопасности.
Возможности платформы Cybereason Defense Platform
Платформа Cybereason Defense Platform успешно выявляет различные этапы атаки, включая:
- Механизмы сохранения в системе (persistence).
- Внедрение вредоносного кода в легитимные процессы.
Это позволяет специалистам по кибербезопасности своевременно реагировать на угрозы и эффективно их нейтрализовать.
Таким образом, описанная кампания демонстрирует не только высокую техническую сложность атакующих методик, но и продуманное социальное инженерство, направленное на уязвимые категории пользователей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Фишинговая кампания с Rhadamanthys stealer угрожает ЦВЕ".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.