Троян DcRAT использует фейковый контент OnlyFans для распространения

Троян DcRAT использует фейковый контент OnlyFans для распространения

Троян DcRAT использует фейковый контент OnlyFans для распространения

В новой кампании киберпреступников используется фейковый контент OnlyFans и приманки, рассчитанные на взрослых. На деле же пользователи получают в систему троян DcRAT, открывающий удалённый доступ к компьютеру.

DcRAT может красть и передавать операторам данные с устройства жертв. Но даже более опасная его фича заключается в возможности устанавливать дополнительную программу-вымогатель.

На кампанию обратили внимание специалисты eSentire. По их словам, злоумышленники действуют в таком ключе с января 2023 года. Атакующие рассылают ZIP-архивы, в которых содержится загрузчик в формате VBScript.

Задача — обманом заставить жертву запустить лоадер. Для этого пользователю обещают доступ к платному контенту OnlyFans. Пока неясно, как именно распространяется вредонос, но специалисты полагают, что ссылки на него могут постить на форумах или присылать в мессенджерах. Злоумышленники также могут использовать «чёрную SEO-оптимизацию», чтобы продвинуть злонамеренные сайты на первые позиции поисковой выдачи.

Один из семплов, который приводят исследователи из Eclypsium, замаскирован под фотографии, на которых в обнажённом виде изображена американская порноактриса Миа Халифа.

VBScript-лоадер является минимальной модифицированной и обфусцированной версией скрипта, который засветился в кампании 2021 года. Тогда на него указала команда Splunk. В сущности, это слегка изменённый скрипт печати Windows.

При запуске вредонос проверяет архитектуру операционной системы с помощью WMI. После этого извлекается встроенная DLL (dynwrapx.dll) и регистрируется через команду Regsvr32.exe. Такой подход открывает зловреду доступ к инструменту DynamicWrapperX, позволяющему осуществлять функции вызовов из API Windows или других DLL-файлов.

Пейоад с именем BinaryData загружается в память и внедряется в процесс RegAsm.exe, легитимную часть .NET Framework. В этом случае шанс на детектирование вредоноса антивирусами резко падает.

Конечный троян DcRAT представляет собой модифицированную версию AsyncRAT, доступного любому желающему на GitHub.

Минцифры хотят официально назначить ответственным за сайты правительства

Минцифры России может официально стать ведомством, которое отвечает за развитие сайтов и других интернет-ресурсов правительства. Такой проект постановления вынесли на общественное обсуждение. Объясняется тем, что Минцифры и так уже занимается этой работой, но формально полномочия за ведомством не закреплены.

А без бумажки, как водится, даже развитие правительственных сайтов может двигаться медленнее, чем хотелось бы.

В пояснительной записке говорится, что отсутствие официального статуса мешает оперативно реализовывать мероприятия по развитию интернет-ресурсов правительства.

При этом техническая инфраструктура остаётся за ФСО России. Именно ФСО указана оператором, который обеспечивает функционирование информационно-телекоммуникационной инфраструктуры для размещения официальных сайтов и других интернет-ресурсов правительства.

Отдельно в документах напоминают, что приказом ФСО от 20 января 2020 года центр специальной связи и информации службы отвечает за поддержание, эксплуатацию, развитие и информационную безопасность российского государственного сегмента интернета — RSNet.

Иными словами, расклад предлагают сделать более официальным: Минцифры — за развитие правительственных сайтов, ФСО — за инфраструктуру и безопасность.

Бюрократически звучит сухо, но по сути речь о том, чтобы закрепить уже сложившуюся схему и убрать подвешенное состояние, когда работа есть, а полномочия оформлены не до конца.

RSS: Новости на портале Anti-Malware.ru