В серии целевых фишинговых кампаний исследователи выявили многоуровневый загрузчик, который используют сразу несколько групп злоумышленников. Он распространяется через письма с вложениями в форматах JavaScript, PowerShell, LNK и ZIP и служит «транспортом» для стилеров и удалённых троянов. Каждая стадия доставки маскируется, что помогает обходить защиту и оставаться незаметной для традиционных средств детектирования.
Цепочка заражения начинается с небольшого скрипта-стажера, который выглядит безобидно, но запускает следующую фазу атаки. Далее применяется стеганография: вредоносный код скрывается внутри изображения и извлекается уже на компьютере жертвы. После этого злоумышленники используют отражённую загрузку и подмену легитимных системных процессов Windows, перенося выполнение в доверенную среду и снижая вероятность обнаружения.
Отдельное внимание исследователи обращают на обход контроля учётных записей и «бесфайловые» сценарии. Благодаря этому вредонос может работать с повышенными правами и не оставлять очевидных следов на диске. В зафиксированных случаях конечной нагрузкой выступает стилер PureLog, который собирает учётные данные, информацию из браузеров и криптокошельков, а также сведения о системе.
Атаки преимущественно нацелены на производственные и государственные организации в Европе и на Ближнем Востоке. Судя по набору функций вредоноса, главная цель кампании — кража данных и последующий доступ к корпоративной инфраструктуре, включая попытки развить атаку внутри сети.
Эксперты подчёркивают, что критическую роль в устойчивости таких кампаний играет человеческий фактор. Злоумышленники делают ставку на доверие к письмам и вложениям, а значит, технических мер защиты недостаточно. Организациям важно не только усиливать фильтрацию почты, контроль выполнения скриптов и мониторинг подозрительных процессов, но и системно обучать сотрудников распознавать фишинг и подозрительные вложения.
Практика показывает, что регулярные тренинги по безопасности, имитационные фишинговые рассылки и разбор реальных инцидентов значительно снижают вероятность успешного заражения. Сотрудники, которые понимают, как выглядят современные атаки, реже открывают вложения «по инерции» и чаще сообщают о подозрительных письмах в службу безопасности.
Если в инфраструктуре появляются признаки компрометации, необходимо быстро изолировать рабочую станцию, остановить подозрительные процессы и зафиксировать состояние памяти для последующего анализа. После проверки на внедрение в процессы — в том числе RegAsm.exe — специалисты рекомендуют сбросить потенциально скомпрометированные пароли и заблокировать связанные домены и IP-адреса, чтобы предотвратить повторное заражение и развитие атаки.
Источник: SOC Prime