В новой кампании по распространению вредоносного ПО злоумышленники используют хитроумные методы, чтобы обманом заставить пользователей запускать вредоносные "исправления" PowerShell.

Хотя цепочка атак требует активного взаимодействия с пользователем, социальная инженерия умело представляет ситуацию как реальную проблему и одновременно предлагает решение. Это может побудить пользователей действовать без должной осторожности.

Аналитики обнаружили несколько цепочек атак, связанных с разными участниками угроз.

В первой используется скрипт, размещенный на блокчейне через смарт-контракты Binance. Этот скрипт отображает поддельное предупреждение Google Chrome и предлагает установить "корневой сертификат". После выполнения сценария PowerShell происходит загрузка дополнительных данных, включая проверку на защиту от виртуальных машин.

В другой цепочке атак пользователей побуждают открыть "Windows PowerShell (администратор)" и вставить предоставленный код. Это приводит к заражению Matanbuchus или DarkGate.

В новой кампании по распространению вредоносного ПО злоумышленники используют хитроумные методы, чтобы обманом заставить пользователей запускать вредоносные "исправления" PowerShell.

Около минуты

20 июня 2024