Атака на Notion: хакеры используют обманчивую рекламу Google

Атака на Notion: хакеры используют обманчивую рекламу Google

Источник: www.malwarebytes.com

Недавняя кибератака, нацеленная на популярное служебное приложение Notion, открывает новые горизонты в методах, используемых злоумышленниками. Хакеры успешно создали обманчивую рекламу в Google, которая привела пользователей на поддельную страницу проверки. Эта атака подчеркивает растущую сложность атак с использованием технологий социального инженеринга.

Технические детали атаки

При нажатии на фальшивую рекламу пользователи перенаправлялись на сайт с поддельной формой проверки, замаскированной под Cloudflare Turnstile. Однако, это был лишь трюк, направленный на сбор данных о пользователях. Основной HTML-код страницы был зашифрован с помощью Rot13, что, вероятно, использовалось для сокрытия вредоносного кода.

После завершения фальшивой проверки пользователям предлагали выполнить ряд действий, которые фактически запускали выполнение вредоносной команды:

  • Выбор поля проверки;
  • Ввод комбинаций клавиш: Windows + R, Ctrl + V.

Скопированный код содержал команду PowerShell, предназначенную для загрузки двоичного файла с определенного URL-адреса и его последующего выполнения.

Обнаружение вредоносных файлов

Загруженный файл содержал сценарий автозагрузки с конфигурацией DarkGate, что создает непосредственную угрозу для безопасности пользователя. При повторном просмотре обманчивой рекламы была замечена другая тактика: в URL-адресе появилась часть /загрузить/, что указывает на использование традиционного метода вредоносной рекламы.

В ходе атаки также был обнаружен поддельный установщик Notion с отозванной цифровой подписью, размещенный на GitHub под подозрительным профилем пользователя. Этот установщик, как и раньше упомянутый двоичный файл, извлек полезную нагрузку AutoIt, содержащую ту же конфигурацию DarkGate.

Стратегические выводы

В своей кампании злоумышленники использовали несколько методов:

  • Социальная инженерия через ClickFix;
  • Периодическая загрузка файлов.

Это может свидетельствовать о том, что хакеры оценивают эффективность каждого метода в достижении успешных установок. Хотя метод загрузки файлов остается эффективным, возможно, использование социальной инженерии становится более успешным подходом.

Способность злоумышленников адаптировать свои кампании к различным методам доставки говорит о стратегической оценке их эффективности и возможности дальнейшего изменения тактики. Это служит напоминанием о необходимости повышенного внимания к киберугрозам, а также о важности образования пользователей в области безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: