Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

0bj3ctivityStealer: новая угроза с расширенными методами кражи данных

3
3 мин
0bj3ctivityStealer — недавно обнаруженная сложная вредоносная программа, предназначенная для кражи данных из различных приложений, демонстрирующая расширенные технические возможности и хитрые методы обхода защиты. Этот stealer выделяется не только многоступенчатым механизмом заражения, но и продвинутыми методами обфускации, которые позволяют ему эффективно уклоняться от средств анализа и обнаружения. Основным вектором атаки 0bj3ctivityStealer является фишинговая рассылка с электронными письмами, которые содержат заманчивые темы и поддельные заказы на покупку. Переход по вредоносной ссылке приводит жертву к размещенному в облаке файлу JavaScript, который: Одной из отличительных черт 0bj3ctivityStealer являются сложные методы обфускации, включающие: Такое поведение ярко указывает на _желание избежать анализа_ и _минимизировать внимание со стороны исследователей и антивирусных систем во время выполнения_. После активации 0bj3ctivityStealer выполняет сбор обширной системной информации и на
Оглавление

0bj3ctivityStealer — недавно обнаруженная сложная вредоносная программа, предназначенная для кражи данных из различных приложений, демонстрирующая расширенные технические возможности и хитрые методы обхода защиты. Этот stealer выделяется не только многоступенчатым механизмом заражения, но и продвинутыми методами обфускации, которые позволяют ему эффективно уклоняться от средств анализа и обнаружения.

Механизм заражения и особенности распространения

Основным вектором атаки 0bj3ctivityStealer является фишинговая рассылка с электронными письмами, которые содержат заманчивые темы и поддельные заказы на покупку. Переход по вредоносной ссылке приводит жертву к размещенному в облаке файлу JavaScript, который:

  • Является сильно запутанным (обфусцированным) и содержит минимальный необходимый код;
  • После выполнения загружает из Интернета изображение формата JPG, скрывающее следующий этап вредоносного ПО с помощью стеганографии;
  • Использует скрипт PowerShell для извлечения полезных данных из этого изображения, считывая значения пикселей;
  • Незаметно разворачивает сам stealer через загрузчик.

Техника обхода защиты и скрытности

Одной из отличительных черт 0bj3ctivityStealer являются сложные методы обфускации, включающие:

  • Внедрение нежелательного («мусорного») кода;
  • Использование рандомизированных имён функций для затруднения статического анализа;
  • Проверки на наличие виртуальных машин и отладчиков, при обнаружении которых вредонос прекращает работу.

Такое поведение ярко указывает на _желание избежать анализа_ и _минимизировать внимание со стороны исследователей и антивирусных систем во время выполнения_.

Цели атаки и украденные данные

После активации 0bj3ctivityStealer выполняет сбор обширной системной информации и нацеливается на конфиденциальные данные из следующих источников:

  • Веб-браузеры, включая версии на базе Chromium и Gecko;
  • Приложения для обмена мгновенными сообщениями;
  • Почтовые клиенты;
  • Криптовалютные кошельки.

Особенностью является то, что stealer извлекает сохранённые учетные данные и соответствующие файлы без попыток их расшифровки, особенно если используются методы шифрования.

Канал коммуникации и география атак

Основным каналом передачи собранных данных служит Telegram, через который 0bj3ctivityStealer отправляет информацию на командный сервер в одном направлении. При этом у вредоноса есть встроенные SMTP-возможности, но они были отключены в последних образцах.

Анализ обнаружения вредоносного ПО показывает его активность в различных регионах, с повышенной активностью в:

  • Соединённых Штатах;
  • Германии;
  • Черногории.

Это говорит скорее о оппортунистическом подходе, нежели о целевых, прицельных кампаниях.

Влияние и рекомендации по защите

0bj3ctivityStealer является показателем современной эволюции угроз в сфере кражи информации, которая характеризуется сложными методами распространения и широким спектром тактик, включая фишинг, пользовательские PowerShell-скрипты и стойкие методы обхода защиты.

Угроза оказывает значительное воздействие на критически важные секторы, такие как государственное управление и промышленное производство. Это подчёркивает потенциальный риск серьёзных утечек данных и требует повышенного уровня внимания со стороны организаций.

Эксперты рекомендуют:

  • Усилить мониторинг электронной почты для выявления фишинговых сообщений;
  • Контролировать запуск скриптов PowerShell и ограничивать права пользователей;
  • Использовать современные средства обнаружения обфусцированного кода и анализа поведения;
  • Обучать сотрудников основам кибергигиены и распознаванию подозрительных сообщений;
  • Регулярно обновлять системы безопасности и проводить аудит уязвимостей.

_0bj3ctivityStealer_ — ещё одно напоминание о том, что современные угрозы требуют комплексных и проактивных мер безопасности для защиты данных и инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "0bj3ctivityStealer: новая угроза с расширенными методами кражи данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются