Атака через поисковые системы: новые схемы распространения вредоносных файлов
В последнее время наблюдается рост активности хакеров, использующих поисковые системы и приложения для обмена сообщениями с целью распространения скрытых исполняемых файлов через обманчивые страницы загрузки. Злоумышленники манипулируют результатами поиска, создавая мошеннические сайты, имитирующие законные источники программного обеспечения.
Стратегия атаки
Наиболее пострадавшие приложения включают популярные мессенджеры, такие как Signal, Line и Gmail. Следует отметить, что в отличие от традиционных методов фишинга, которые копируют официальные URL-адреса, эти угрозы используют, казалось бы, несвязанные доменные имена:
- Для Gmail:
ggyxx.wenxinzhineng.top - Для Line:
linoo.wenxinzhineng.top
Эти домены предполагают широкую стратегию атаки, направленную на захват широкой базы пользователей через обманчивые загрузки.
Вредоносные страницы и программы
Вредоносные веб-страницы для платформ обмена сообщениями предлагают исполняемые файлы, замаскированные под законные приложения. Например, две доменные страницы для Line, linoo.wenxinzhineng.top и linegut.com, содержат идентичные вредоносные страницы загрузки с кнопкой для загрузки.
Пользователи также сталкиваются с поддельной страницей Gmail по адресу ggyxx.wenxinzhineng.top, которая имеет минималистичный дизайн и запрашивает ввод имени пользователя. После этого пользователю отображается сообщение на китайском языке, указывающее на отсутствие средств контроля безопасности, и предлагается скачать файл с именем Goongeurut.zip, который устанавливает Gmail Notifier Pro без реальных функций входа в систему.
Технические детали вредоносной программы
При запуске вредоносная программа использует стандартный шаблон, который включает следующие шаги:
- Извлечение временного файла.
- Внедрение процесса.
Динамический анализ выявил, что вредоносная программа называется MicroClip, и ее механизм заключается в выполнении начальной полезной нагрузки, которая удаляет временный файл в каталоге AppDataLocalTemp. Этот временный файл запускает процесс svrnezcm.exe, помещаемый в каталог с глубокой вложенностью в AppDataRoaming.
Изменения в системе и сетевое поведение
Данный процесс инициирует внесение изменений в систему с помощью PowerShell, меняя настройки защитника Windows, чтобы исключить весь диск C: из сканирования. Это тактика, обычно используемая для избегания обнаружения, и облегчает текущую вредоносную активность.
Сетевое поведение, связанное с этим вредоносным ПО, включает:
- Разрешение DNS до
zhzcm.star1ine.com. - Установление исходящих TCP-подключений к определенным IP-адресам.
Сообщается, что эта операция зависит от двух серверов, расположенных в Гонконге, и использует инфраструктуру Alibaba. Первый IP-адрес, 47.243.192.62, обеспечивает доступ к вышеупомянутым вредоносным доменам и связан с сертификатом TLS. Второй IP-адрес, 8.210.9.4, возможно, обслуживает порт 3389, используемый для доступа по протоколу удаленного рабочего стола (RDP).
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
