Набор эксплойтов Neptune распространяет Monero-майнер

Набор эксплойтов Neptune распространяет Monero-майнер

Киберпреступники используют комплект эксплойтов Neptune во вредоносной кампании по распространению майнера. Об этом сообщают эксперты фирмы FireEye. Neptune, также известный под именами Terror, Blaze и Eris, первоначально считался вариантом набора эксплойтов Sundown из-за сходства кода. С исчезновением таких наборов, как Angler и Neutrino, Sundown также снизил свою активность, уступив место RIG.

Однако Neptune приобрел популярность, и он по-прежнему используется во вредоносных рекламных кампаниях, в частности тех, которые направлены на распространение криптовалютных майнеров. Специалистами FireEye недавно были обнаружены несколько изменений в атаках Neptune, включая шаблоны URI, целевые страницы и вредоносную нагрузку.

Злоумышленники используют легитимный сервис всплывающей рекламы для распространения вредоносной программы. Киберпреступники также маскируют свои сайты, меняя домен верхнего уровня с .com на .club (например, highspirittreks.com и highspirittreks.club). Один из таких вредоносных сайтов также имитирует конвертер видео YouTube в MP3.

Обычно вредоносная реклама этой кампании находится на популярных торрент-сайтах. При попадании пользователя на один из таких сайтов, осуществляется попытка эксплуатации трех уязвимостей Internet Explorer и двух в Adobe Flash Player. Примечательно, что ни одна из эксплуатируемых уязвимостей не является новой, они все были раскрыты еще в 2014 - 2016 годах.

Сам майнер нацелен на криптовалюту Monero, в настоящее время один Monero равен $86. Страны и континенты, пострадавшие от этого вредоноса включают: Южную Корею (29%), Европу (19%), Таиланд (13%), Ближний Восток (13%) и Соединенные Штаты (10%).

«Несмотря на то, что активность наборов эксплойтов в данный момент снижается, пользователи подвергают себя большому риску, если у них устаревшее или непроверенное программное обеспечение» - говорят специалисты FireEye.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru