Атака на Notion: хакеры используют обманчивую рекламу Google

Источник: www.malwarebytes.com
Недавняя кибератака, нацеленная на популярное служебное приложение Notion, открывает новые горизонты в методах, используемых злоумышленниками. Хакеры успешно создали обманчивую рекламу в Google, которая привела пользователей на поддельную страницу проверки. Эта атака подчеркивает растущую сложность атак с использованием технологий социального инженеринга.
Технические детали атаки
При нажатии на фальшивую рекламу пользователи перенаправлялись на сайт с поддельной формой проверки, замаскированной под Cloudflare Turnstile. Однако, это был лишь трюк, направленный на сбор данных о пользователях. Основной HTML-код страницы был зашифрован с помощью Rot13, что, вероятно, использовалось для сокрытия вредоносного кода.
После завершения фальшивой проверки пользователям предлагали выполнить ряд действий, которые фактически запускали выполнение вредоносной команды:
- Выбор поля проверки;
- Ввод комбинаций клавиш: Windows + R, Ctrl + V.
Скопированный код содержал команду PowerShell, предназначенную для загрузки двоичного файла с определенного URL-адреса и его последующего выполнения.
Обнаружение вредоносных файлов
Загруженный файл содержал сценарий автозагрузки с конфигурацией DarkGate, что создает непосредственную угрозу для безопасности пользователя. При повторном просмотре обманчивой рекламы была замечена другая тактика: в URL-адресе появилась часть /загрузить/, что указывает на использование традиционного метода вредоносной рекламы.
В ходе атаки также был обнаружен поддельный установщик Notion с отозванной цифровой подписью, размещенный на GitHub под подозрительным профилем пользователя. Этот установщик, как и раньше упомянутый двоичный файл, извлек полезную нагрузку AutoIt, содержащую ту же конфигурацию DarkGate.
Стратегические выводы
В своей кампании злоумышленники использовали несколько методов:
- Социальная инженерия через ClickFix;
- Периодическая загрузка файлов.
Это может свидетельствовать о том, что хакеры оценивают эффективность каждого метода в достижении успешных установок. Хотя метод загрузки файлов остается эффективным, возможно, использование социальной инженерии становится более успешным подходом.
Способность злоумышленников адаптировать свои кампании к различным методам доставки говорит о стратегической оценке их эффективности и возможности дальнейшего изменения тактики. Это служит напоминанием о необходимости повышенного внимания к киберугрозам, а также о важности образования пользователей в области безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



