СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26 апреля
#ИБ

AgenteV2: фишинг с банковским трояном в Бразилии

Новая атака маскируется под официальную судебную повестку, использует persistent WebSocket backdoor и ориентирована на пользователей крупных banks и cryptocurrency wallet extensions.

В Бразилии обнаружена весьма изощренная phishing-кампания, в которой используется вредоносное ПО agenteV2 — интерактивный banking trojan, способный действовать в режиме реального времени. Злоумышленники маскируют заражение под официальную судебную повестку, чтобы убедить жертву открыть вложение и загрузить вредоносную payload. После запуска malware устанавливает persistent WebSocket backdoor, обеспечивая удаленный доступ к системе жертвы и создавая условия для немедленного financial fraud и кражи учетных данных.

По данным отчета, основная цель кампании — пользователи в Бразилии, при этом особое внимание уделяется крупным banks и расширениям cryptocurrency wallets. Такой фокус делает угрозу особенно опасной для организаций, чьи сотрудники могут случайно стать жертвами социальной инженерии и открыть зараженный файл.

Как работает атака

Сценарий заражения выстроен в несколько этапов и рассчитан на то, чтобы обойти как человеческую настороженность, так и автоматизированные механизмы защиты.

  • Жертве приходит реалистичное email-сообщение, выдающее себя за обращение от federal court of Brazil.
  • Получателю предлагается открыть защищенный паролем PDF-файл.
  • После взаимодействия с файлом пользователь получает запрос на загрузку VBS-файла.
  • Этот файл извлекает вредоносные executable-компоненты.
  • Запущенный malware устанавливает связь с оператором через WebSocket backdoor.

Такой двухуровневый подход к social engineering повышает эффективность атаки. Он позволяет обходить механизмы безопасности, которые могли бы более тщательно проверить вложения и ссылки, если бы вредоносная активность была представлена в одном очевидном шаге.

Что делает agenteV2 опаснее обычного credential-stealing malware

agenteV2 заметно выделяется на фоне традиционного malware, ориентированного лишь на кражу учетных данных. Его ключевое отличие — интерактивность. Вредоносная программа способна транслировать экран жертвы, а это значит, что злоумышленники могут наблюдать банковские операции в момент их совершения и немедленно реагировать при обнаружении активного banking session.

Кроме того, оператор получает возможность выполнять команды удаленно. Это создает риск того, что financial fraud может начаться всего через несколько минут после заражения — значительно быстрее, чем сработают типичные реактивные меры безопасности.

Механизмы закрепления и скрытность

Для сохранения присутствия в системе вредоносная программа использует многоуровневые методы persistence. Среди них:

  • создание scheduled tasks;
  • изменения в registry;
  • механизмы, обеспечивающие работоспособность после перезагрузки системы и технического обслуживания.

Это делает удаление угрозы более сложным: даже после перезапуска зараженная система может продолжить взаимодействие с инфраструктурой злоумышленников.

Управление через Pastebin и проблемы блокировки IOC

Особого внимания заслуживает способ, которым agenteV2 получает address сервера управления C2. ВПО извлекает его с общедоступной страницы Pastebin. Такой прием позволяет злоумышленникам быстро менять IP-address без необходимости повторного размещения malware на компрометированных системах.

В результате традиционная блокировка по IP-адресу становится малоэффективной уже через короткое время. Именно поэтому аналитики рекомендуют опираться на behavior-based detection, а не только на поиск и блокировку известных IOC.

Сложность анализа и ошибки OPSEC

Базовый code agenteV2 компилируется с помощью Nuitka в machine code, что усложняет static analysis. Тем не менее исследователи отмечают, что разработчики допустили ошибки в operational security: в коде сохранились debug strings и доступные names variables, которые могут быть полезны при расследовании.

Дополнительным индикатором целевой направленности кампании стала проверка на наличие local anti-fraud software. Это говорит о том, что злоумышленники заранее адаптировали инструментарий под особенности бразильской финансовой среды.

Вывод

agenteV2 демонстрирует, как современные угрозы переходят от пассивного сбора учетных данных к интерактивным, operator-driven атакам, рассчитанным на немедленную монетизацию компрометации. Для организаций это означает необходимость пересмотра защитных приоритетов: недостаточно лишь блокировать известные indicators of compromise — критически важно понимать динамическое поведение угрозы и усиливать возможности обнаружения на уровне поведения.

Иными словами, эффективная защита от подобных кампаний должна быть ориентирована не только на известные IOC, но и на своевременное выявление самой схемы атаки в процессе ее развития.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: