Исследователи из компании FortiGuard Labs обнаружили активную кампанию вредоносного ПО infostealer под названием NordDragonScan, нацеленного на кражу конфиденциальных данных с помощью сложных техник скрытности и обфускации. Вредонос использует несколько нестандартных подходов для обхода систем защиты и привлечения потенциальных жертв.
Механизм атаки: от фишинга до скрытого исполнения вредоносной нагрузки
Злоумышленники распространяют вредоносное ПО через фишинговые рассылки, используя сокращённые URL-адреса, чтобы перенаправить пользователей на сайт загрузки. Там происходит скачивание RAR-архива с ярлыком быстрого доступа, который запускает mshta.exe для активации вредоносного HTA-скрипта.
- HTA-файл маскируется под легитимный исполняемый файл PowerShell, хранящийся в общедоступном каталоге.
- Он загружает и декодирует закодированный TXT-файл, выступающий в роли документа-приманки.
- Пока пользователь отвлечён просмотром безобидного документа, скрытый скрипт запускает основную вредоносную нагрузку — файл adblocker.exe во временном каталоге.
Технологии обхода обнаружения и взаимодействие с C2-сервером
NordDragonScan использует уникальную обфускацию — операции XOR и замену байтов — для скрытия строк и затруднения статического анализа. При первом запуске программа проверяет и при необходимости создаёт рабочий каталог для хранения временных данных.
Вредонос взаимодействует с сервером управления (C2) по адресу kpuszkiev.com, используя специализированные HTTP-заголовки, включающие MAC-адрес заражённого устройства. Это позволяет получить динамический URL для последующей передачи украденных данных.
Сбор информации и проникновение в локальную сеть
После установки NordDragonScan проводит комплексный сбор информации с помощью вызовов WMI, включая:
- Имя компьютера;
- Версию операционной системы;
- Данные об активном сетевом адаптере, включая основной IPv4-адрес.
В дополнение к сбору системных данных вирус сканирует локальную сеть на наличие доступных хостов, снимает скриншоты экрана и сохраняет их во временном каталоге. Параллельно проводится поиск и анализ документов с расширениями .docx, .pdf и другими для извлечения ценной информации.
Передача данных и рекомендации по безопасности
Скомпилированные данные отправляются на C2-сервер через POST-запросы с индивидуальными заголовками, указывающими тип передаваемой информации. Такой подход позволяет злоумышленникам эффективно контролировать процесс кражи данных и минимизировать риски обнаружения.
Особенности распространения вредоносного ПО NordDragonScan заключаются в использовании:
- ярлыков .LNK для скрытого запуска;
- сжатых архивов (RAR) для обхода фильтров антивирусов и почтовых систем;
- обманчивых документов-приманок для отвлечения пользователя.
FortiGuard Labs настоятельно рекомендует компаниям и частным лицам сохранять бдительность и придерживаться лучших практик кибербезопасности:
- не открывать подозрительные ссылки и вложения;
- использовать обновлённые антивирусные решения и фильтры почты;
- применять многофакторную аутентификацию и сегментировать сеть;
- осуществлять регулярное резервное копирование данных.
Только комплексный подход позволит значительно снизить риск успешных атак от подобных продвинутых угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Обнаружена сложная инфостилер-угроза NordDragonScan с HTA-обфускацией".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.