СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.05.2025
#ИБ

Гибридные кибератаки: фишинг и вредоносное ПО в новом формате

Гибридные кибератаки: фишинг и вредоносное ПО в новом формате

Недавние исследования компании Forcepoint выявили уникальные методы, используемые киберпреступниками в их атаках. Хакеры начали сочетать традиционные методы фишинга с распространением вредоносных программ, что представляет собой новую угрозу для пользователей.

Описание атаки

Атака начинается с фишингового электронного письма. Основные аспекты этой атаки включают:

  • Вводящий в заблуждение адрес отправителя
  • Стандартное сообщение, призывающее получателя «Очистить хранилище»
  • Перенаправление на фишинговый сайт, размещенный в IPFS (Межпланетной файловой системе)

Использование децентрализованной сети IPFS позволяет злоумышленникам сохранять устойчивость к удалению контента, что делает возможным постоянные попытки фишинга. Фишинговая страница не только пытается получить учетные данные, но и использует скрипт геолокации из geoplugin.net, собирая данные о местоположении пользователя и характеристиках системы. Это делает попытку фишинга более персонализированной и правдоподобной.

Технические аспекты вредоносного ПО

Критическим моментом атаки является наличие вложения в виде архива RAR, который содержит вредоносное ПО из семейства X-Worm/Formbook. После того как вложение извлечено и выполнено, оно запускается с помощью .NET-скомпилированного загрузчика, за которым следует полезная нагрузка второго этапа — также исполняемый файл .NET.

Использование .NET на обоих этапах предполагает оптимизированный подход к выполнению в памяти, направленный на обход механизмов обнаружения. Ключевые особенности поведения вредоносной программы включают в себя:

  • Тактики антианализа: задержки в режиме ожидания, проверки наличия отладочных сред и обнаружение виртуальных машин
  • Изменение хост-системы: создание исключений для защитника Windows и установка запланированных задач
  • Контакт с внешними IP-адресами, что указывает на возможную передачу данных по каналу управления (C2) или утечку данных
  • Внедрение кода: возможность внедрения вредоносной полезной нагрузки в законные процессы

Заключение

Гибридный подход к кибератакам, сочетающий фишинг и распространение вредоносного ПО, подчеркивает эволюцию тактик хакеров. Используя обе стратегии, злоумышленники значительно повышают свои шансы на успешную компрометацию.

Меры безопасности Forcepoint направлены на устранение данной многогранной угрозы через:

  • Блокировку фишинговых сообщений электронной почты
  • Обнаружение и нейтрализацию вредоносных вложений
  • Блокирование подключений к потенциальной инфраструктуре C2

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: