Группа хакеров FIN7 оснастила свой бэкдор новыми возможностями

Группа хакеров FIN7 оснастила свой бэкдор новыми возможностями

Группа киберпреступников FIN7 (также известная как Carbanak или Anunak) изменила технику своих атак, внедряя новый метод обфускации вредоносных программ. За последние полгода FIN7 постоянно видоизменяли способы заражения, атакуя преимущественно финансовые структуры.

В апреле, например, хакеры использовали LNK-файлы для распространения вредоносного пейлоада, далее перешли на бестелесный вредонос и файлы CMD.

«При выполнении CMD-файл записывает JScript в файл «tt.txt», помещая его в домашний каталог текущего пользователя. Затем скрипт копирует себя в «pp.txt», также в домашнем каталоге текущего пользователя, перед тем, как запустить WScript с помощью JScript. Оба формата CMD и LNK приводят к выполнению кода, но переход к использованию файлов CMD говорит о желании хакеров избежать  обнаружения их программы», - говорится в анализе, опубликованном экспертами по безопасности.

Также хакеры FIN7 внедрили новую систему обфускации своего бэкдора HALFBAKED, который они совершенствовали на протяжении нескольких лет.

«Ранее некоторые версии HALFBAKED использовали кодировку base64, находящуюся в переменной srcTxt. Теперь же злоумышленник обфусцирует это имя и продолжает разбивать строку base64 в массиве на несколько строк», - продолжают эксперты.

Кроме того, исследователи обнаружили, что HALFBAKED теперь включает встроенную команду под названием «getNK2», которая была разработана для получения списка автозаполнения почтового клиента электронной почты Microsoft Outlook.

Специалисты отмечают, что файлы NK2 используются только в Microsoft Outlook 2007 и 2010, новые версии Outlook больше их не используют.

Те изменения, которые внедрила группа FIN7 в свои методы, доказывает, что эти хакеры могут быстро адаптироваться и подстраиваться под новые условия.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Атаки с использованием дыры в расширении Cisco WebEx резко возросли

Киберпреступники в 2018 году значительно увеличили количество атак, в которых используется уязвимость расширения для Chrome — Cisco Webex. Согласно отчету WatchGuard Technologies, такие кибератаки заняли второе место среди самых распространенных сетевых атак.

Сама уязвимость была обнаружена и пропатчена еще в 2017 году. В начале 2018-го атак с использованием этой дыры зафиксировано практически не было, но исследователи WatchGuard отметили резкий скачок — с третьего по четвертый квартал 2018 года количество таких атак выросло на 7 000%.

Также отчет WatchGuard свидетельствует о серьезном росте числа фишинговых атак, в которых злоумышленники угрожают жертве опубликовать процесс посещения сайтов для взрослых (так называемый метод sextortion).

Каждое вредоносное письмо в этом случае уникально, так как оно направляется конкретному пользователю. Это позволяет киберпреступникам выглядеть еще более убедительно.

Помимо этого, исследователи WatchGuard сообщили, что в четвертом квартале 2018 года крайне распространенным видом вредоносных программ стал криптомайнер CoinHive, а вернее его использование в злонамеренных целях.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru