HP Wolf: хакеры применяют вредоносное ПО на основе изображений и GenAI для обхода защиты электронной почты
Изображение: recraft
Киберпреступники нашли новые способы обхода защиты электронной почты, внедряя вредоносный код в графические файлы и используя возможности генеративного искусственного интеллекта для доставки вредоносного ПО. Об этом говорится в отчёте Threat Insights за третий квартал 2024 года, подготовленном специалистами HP Wolf.
Согласно данным компании, число угроз, которые успешно обходят фильтры электронной почты, продолжает расти: 11% всех атак на почтовые шлюзы остаются незамеченными. Аналитики компании зафиксировали несколько кампаний, основанных на социальной инженерии, где для распространения вирусов применялись методики с использованием файлов изображений.
Среди вредоносных программ, о которых идёт речь, выделены VIP Keylogger и 0bj3ctivityStealer. Оба этих инструмента активно применялись злоумышленниками.
Как пояснили эксперты HP Wolf, код, внедрённый в изображения, позволяет обмануть системы защиты. Файлы кажутся безопасными, особенно если их загрузка происходит с ресурсов, которые пользователи считают надёжными. Такие подходы помогают атакующим обходить веб-прокси и другие средства фильтрации, работающие на основе репутации доменов.
VIP Keylogger представляет собой продвинутый инструмент, который фиксирует ввод с клавиатуры, похищает данные из приложений, буфера обмена и может делать снимки экрана. Злоумышленники использовали эту программу в фишинговых кампаниях, рассылая жертвам письма, оформленные под счета-фактуры или заказы на закупку. Вложения в этих письмах содержали архивы форматов Z или GZ, которые при открытии запускали исполняемый файл .NET. Этот файл становился отправной точкой для установки вредоносного ПО, которое закреплялось в системе, создавая ключ автозагрузки в реестре.
Другая программа, 0bj3ctivityStealer, предназначена для кражи данных, таких как пароли и информация о банковских картах. Её основное отличие — использование Telegram, HTTP и SMTP для передачи украденных данных. В ходе одной из зафиксированных кампаний злоумышленники рассылали архивы, якобы содержащие запросы на котировки. Эти файлы скрывали JavaScript с комбинацией безопасного и вредоносного кода.
После открытия архивов активировался процесс, запускавший PowerShell-скрипт, который декодировал код, встроенный в изображение, и создавал исполняемый файл .NET. Дальнейшие этапы заражения были схожи с механизмом распространения VIP Keylogger.
Специалисты HP Wolf также отметили, что методики, использованные в обеих кампаниях, свидетельствуют о возможной связи между группами, распространяющими эти программы. По мнению аналитиков, идентичные загрузчики и подходы указывают на использование одинаковых инструментов в различных операциях.
Полная версия отчета представлена по ссылке.
