В Южной Корее рассылают вредоносные файлы под видом архивных документов

В Южной Корее рассылают вредоносные файлы под видом архивных документов

 Южнокорейская компания AhnLab, специализирующаяся на разработке решений в сфере информационной безопасности, заявила, что ее специалистам удалось выявить новую схему рассылки вредоносных файлов. Как заявляют представители компании, неизвестные злоумышленники распространяют вредоносные файлы под видом электронных писем, содержащих архивные документы правительства Южной Кореи. 

В большинстве случаев вредоносные файлы имеют следующие названия: 'The Strategic Approach to North Korean Nuclear Issue', 'Agenda for Unification of North and South Korea Conference', 'Improving the Department of Defense System Engineering of XX University', and 'Technology for National Defense System'.

По словам специалистов AhnLab, вредоносные файлы используют уязвимость нулевого дня, содержащуюся в текстовых процессорах с корейским интерфейсом. При попадании на компьютер жертвы, такие файлы инфицирует компьютер вредоносной программой, собирающей и пересылающей на сервер, контролируемый злоумышленниками, информацию об аппаратных средствах и операционной системе инфицированного компьютера, а также интернет-активности пользователя. При соединении с сервером, контролируемым злоумышленниками, программа также может загружать на инфицированный компьютер любые файлы или передавать хранящиеся на нем файлы злоумышленникам. При этом программа собирает информацию об IP-адресах и Proxy-серверах, к которым подключается инфицированный компьютер. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян Shuyal Stealer ворует данные из 19 браузеров и исчезает без следа

В ИБ-компании Point Wild проанализировали образец Windows-стилера Shuyal, объявившегося в июле, и обнаружили внушительный список целевых браузеров — 19 наименований, в том числе Яндекс Браузер и Tor.

Свое имя написанный на C++ зловред (детектится на VirusTotal с результатом 48/72 по состоянию на 8 октября) получил по найденному в экзешнике идентификатору. От собратьев новобранец отличается не только большим количеством целей, но также умением заметать следы.

После запуска Shuyal Stealer прежде всего выполняет глубокое профилирование зараженной системы с помощью WMI: собирает данные жестких дисков (модель, серийный номер), подключенной клавиатуры (включая ID), информацию о настройках монитора, чтобы выстроить стратегию кражи данных сообразно конкретным условиям.

Троян также прибивает Диспетчер задач, способный выдать запуск вредоносных процессов, и прописывается в системе на автозапуск.

Кража данных осуществляется с помощью скриптов PowerShell. При этом зловреда интересует следующая информация:

  • сохраненные в браузере учетки, куки и история посещения сайтов;
  • содержимое буфера обмена;
  • токены аутентификации из Discord, Discord Canary и Discord PTB.

Инфостилер также умеет делать скриншоты, чтобы добавить контекст к украденным данным.

Вся добыча вместе с журналом вредоносной активности (history.txt) помещается в директорию runtime, специально создаваемую в папке временных файлов. Для эксфильтрации ее содержимое архивируется (runtime.zip) и затем отсылается в телеграм-бот, который Shuyal находит по вшитому ID.

Завершив кражу и вывод данных, Shuyal пытается стереть все следы своего присутствия в системе с помощью скрипта util.bat.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru