Исследователи Forcepoint X-Labs выявили масштабную фишинговую кампанию с использованием ботнета Phorpiex и вредоносных файлов ярлыков Windows для развертывания программы-вымогателя Global Group. Вредоносная кампания использует уловку с письмом «Ваш документ» для заманивания жертв. — csoonline.com
Исследователи Forcepoint X-Labs выявили масштабную фишинговую кампанию при поддержке ботнета Phorpiex, которая использует вредоносные файлы ярлыков Windows для развертывания программы-вымогателя Global Group на компьютерах жертв.
Кампания, наблюдавшаяся в конце 2024 года и продолжающаяся по сей день, использует распространенную приманку в виде электронного письма с темой «Ваш документ», чтобы заставить получателей открыть вредоносное вложение LNK.
«Сочетая социальную инженерию, скрытое выполнение и методы Living-off-the-Land (LotL), файл (.lnk) незаметно извлекает и запускает полезную нагрузку второй ступени, вызывая подозрения», — сообщили исследователи Forcepoint в своем блоге.
В отличие от многих современных операций с программами-вымогателями, которые полагаются на внешнюю инфраструктуру управления и контроля (C2), полезная нагрузка Global Group выполняется локально после доставки, что затрудняет обнаружение и реагирование традиционными сетевыми средствами безопасности, отметили исследователи.
Вредоносные LNK-файлы
Цепочка заражения начинается с того, что пользователь открывает файл ярлыка с двойным расширением, например «Document.doc.lnk». Поскольку Windows по умолчанию скрывает расширения файлов, файл выглядит для пользователя как легитимный документ. Значок ярлыка также настроен так, чтобы напоминать файл Microsoft Word, чтобы еще больше снизить подозрительность.
При выполнении .lnk-файл запускает встроенные утилиты Windows, включая cms.exe и PowerShell, для извлечения и выполнения полезной нагрузки следующего этапа. Поскольку эксплойт не используется, этот подход позволяет злоумышленникам обойти средства безопасности, ориентированные на вредоносные документы или исполняемые вложения.
Forcepoint отметил, что команды, встроенные в ярлык, сильно обфусцированы и в конечном итоге приводят к загрузке полезной нагрузки программы-вымогателя Global Group из инфраструктуры, контролируемой злоумышленниками. После загрузки программа-вымогатель выполняется немедленно.
Phorpiex как слой распространения
Forcepoint отнес распространение электронной почты в этой кампании к ботнету Phorpiex, также известному как Trik. Phorpiex действует более десяти лет и известен своим крупным глобальным присутствием, способным рассылать спам в больших объемах. В этой кампании зараженные системы в рамках ботнета используются для прямой отправки фишинговых писем, а не для использования вновь зарегистрированной инфраструктуры.
Роль ботнета, похоже, ограничена доставкой. Как только жертва открывает вредоносное вложение, Phorpiex больше не участвует в цепочке вторжения.
«Эта кампания демонстрирует, насколько эффективными остаются давно существующие семейства вредоносных программ, такие как Phorpiex, в сочетании с простыми, но надежными методами фишинга», — заявили исследователи. «Используя знакомые типы файлов, такие как файлы ярлыков Windows, злоумышленники могут получить первоначальный доступ с минимальными усилиями, что обеспечивает плавный переход к высокоэффективным полезным нагрузкам, таким как Global Group Ransomware».
Global Group работает офлайн
Программа-вымогатель Global Group, являющаяся финальной полезной нагрузкой в цепочке, была идентифицирована Forcepoint как преемник семейства программ-вымогателей Mamona. Программа-вымогатель работает полностью в автономном режиме. Она генерирует ключи шифрования локально и не требует связи с удаленным сервером для завершения шифрования файлов.
По словам исследователей, такая конструкция значительно ограничивает возможности обнаружения на основе сети. «Несмотря на заявления в записке с требованием выкупа, GLOBAL GROUP не осуществляет эксфильтрацию данных и полностью способна работать в автономных или изолированных средах», — заявили они. «Эта полностью автономная конструкция также повышает вероятность обнаружения в сетях, где мониторинг в основном полагается на наблюдение за подозрительным или аномальным трафиком».
Во время выполнения Global Group шифрует файлы пользователей с использованием алгоритма «ChaCha20-Poly1305» и добавляет новое расширение файла. Она также оставляет записку с требованием выкупа, в которой жертвам предлагается связаться со злоумышленниками через анонимные каналы для получения инструкций по оплате. Исследователи предоставили список индикаторов для поддержки усилий по обнаружению. «Эта тенденция к незаметным, самостоятельным программам-вымогателям подчеркивает важность приоритизации мониторинга поведения конечных точек над активностью в сети», — заявили они.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma