Фишинговая кампания с Rhadamanthys stealer угрожает ЦВЕ

Фишинговая кампания с использованием нарушения авторских прав нацелена на Центральную и Восточную Европу

Недавние наблюдения служб кибербезопасности Cybereason выявили масштабную фишинговую кампанию, в которой злоумышленники используют ложные обвинения в нарушении авторских прав в качестве приманки. Основная цель атаки — отдельные пользователи из Центральной и Восточной Европы, преимущественно профессионалы, работающие с мультимедийным контентом.

Механизм атаки и используемые технологии

В основе кампании лежит вредоносное ПО Rhadamanthys stealer, распространяемое с использованием технологии боковой загрузки библиотек DLL (DLL side-loading). Злоумышленники маскируют вредоносные библиотеки под компоненты легитимных приложений, например, безопасного PDF-ридера, что позволяет выполнять вредоносный код в контексте доверенного процесса. Такая тактика значительно затрудняет обнаружение вредоносных действий.

• Фишинговые письма содержат ложные утверждения о нарушении авторских прав и призывают получателя к немедленному удалению «незаконного» контента.
• Загрузка вредоносных файлов происходит через популярные платформы — Mediafire и Dropbox, с использованием недавно зарегистрированных доменов для сокрытия источника.
• При запуске загруженных файлов происходит последовательное заражение, включающее развертывание вредоносной DLL и легитимного исполняемого файла, замаскированного под PDF-ридер.
• Вредоносная библиотека DLL внедряет постоянство, модифицируя ключи автозапуска в реестре Windows.

Целевые аудитории и потенциальные риски

Атака в первую очередь ориентирована на специалистов в области мультимедиа, которые активно используют инструменты для обработки контента, такие как ffmpeg.dll. Чаще всего жертвами становятся фрилансеры и подрядчики, что обусловлено их сниженным уровнем корпоративных мер безопасности. Компрометация таких пользователей часто открывает врата для дальнейшего проникновения в более широкие сетевые инфраструктуры организаций.

Технический анализ и особенности вредоносного ПО

Эксперты Cybereason отмечают использование в Rhadamanthys stealer прогрессивных методов обхода систем безопасности:

• Динамическое разрешение указателей функций API и применение косвенных системных вызовов, что позволяет обходить перехват API на пользовательском уровне.
• Многоступенчатый шелл-код, активируемый при загрузке вредоносной DLL, которая стратегически размещается в том же каталоге, что и легитимный исполняемый файл, для эксплуатации стандартного порядка поиска DLL в Windows.
• Использование TLS-обратных вызовов (TLS callbacks) для выполнения вредоносного кода до начала стандартного входа в DLL, повышая скрытность.
• Методы обфускации кода и антивзломные техники, затрудняющие анализ и обнаружение вредоносного ПО средствами безопасности.

Возможности платформы Cybereason Defense Platform

Платформа Cybereason Defense Platform успешно выявляет различные этапы атаки, включая:

• Механизмы сохранения в системе (persistence).
• Внедрение вредоносного кода в легитимные процессы.

Это позволяет специалистам по кибербезопасности своевременно реагировать на угрозы и эффективно их нейтрализовать.

Таким образом, описанная кампания демонстрирует не только высокую техническую сложность атакующих методик, но и продуманное социальное инженерство, направленное на уязвимые категории пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.