Microsoft предупреждает об атаках бесфайлового трояна Astaroth

Microsoft предупреждает об атаках бесфайлового трояна Astaroth

Команда исследователей в области безопасности Microsoft предупреждает о распространении бесфайлового трояна Astaroth. Злоумышленники загружают похищающий данные вредонос прямо в память компьютера жертвы.

Astaroth предназначен для кражи конфиденциальной информации. Используя свой модуль кейлоггера, троян фиксирует учетные данные пользователя. Также он способен перехватывать вызовы операционной системы и мониторить буфер обмена.

Еще одна опасная особенность этой вредоносной программы — использование командной строки Windows для скрытой загрузки и установки в фоне других зловредов.

Команда безопасников Microsoft оповестила об атаках трояна в Twitter. По словам экспертов, киберпреступники используют многоступенчатую схему заражения. Все начинается с целевого фишинга — жертве приходит электронное письмо, в котором содержится ссылка, ведущая пользователя на LNK-файл.

Этот файл, в свою очередь, запускает инструмент WMIC с параметром «/Format», что позволяет скачать и запустить код JavaScript.

Вся схема атаки, согласно отчету Microsoft, выглядит следующим образом:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Сотрудники ИКЕА столкнулись с внутренней фишинговой рассылкой

Шведская компания ИКЕА, занимающаяся продажей мебели и товаров для дома, столкнулась с кибератакой. Злоумышленники организовали внутренние фишинговые рассылки, нацеленные на сотрудников ИКЕА, и использовали для этого перехваченные цепочки электронных писем.

Учитывая, что атакующие задействовали реальные корпоративные письма, сотрудникам сложно было не клюнуть на уловку. Как известно, преступники использовали скомпрометированные системы деловых партнёров и поставщиков ИКЕА.

Другими словами, сотрудники шведской компании видели в ящике письма непосредственно от тех, с кем уже ранее велась переписка. Более того, часто фишинговые сообщения приходили в ответ на уже существующую цепочку писем.

ИТ-отдел ИКЕА предупредил работников, что в рассылке содержатся ссылки, заканчивающиеся семью цифрами. Служащим посоветовали не только не переходить по URL, но и в принципе не открывать писем. Обо всех подобных рассылках ИТ-специалисты наказали сообщать через чат Microsoft Teams.

 

Вся эта кампания киберпреступников началась с эксплуатации уязвимостей ProxyShell и ProxyLogin и компрометации серверов Microsoft Exchange. После получения доступа к серверу атакующие использовали его для отправки фишинговых сообщений в уже существующие цепочки писем.

Изучив сами сообщения и содержащиеся в них ссылки, специалисты BleepingComputer выяснили, что злоумышленники пытаются перенаправить жертв на загрузку архива с именем «charts.zip», в котором хранится вредоносный Excel-документ.

При открытии этот документ предлагал получателю «разрешить выполнение контента», после чего запускался вредоносный макрос. Последний скачивает с удалённого сайта файлы besta.ocx, bestb.ocx, и bestc.ocx и сохраняет их в директории C:\Datop.

Похожие методы используют операторы трояна Qbot (также QakBot и Quakbot) и знаменитого Emotet.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru