Кампания Adwind: новые методы заражения через PDF и ZIP-файлы
Новая волна атаки вредоносного ПО Adwind нацелена на Испанию, Португалию и Италию
Недавняя кампания злоумышленников, распространяющих вредоносное ПО RAT Adwind, нацелена преимущественно на пользователей из Испании, Португалии и Италии. Основной метод атаки — это рассылка электронных писем с вредоносными вложениями, которые маскируются под безобидные документы PDF. Такой подход демонстрирует эволюцию тактик хакеров, направленных на обход систем безопасности и социальной инженерии.
Схема рассылки и особенности вложений
Вредоносные письма содержат PDF-файлы, именуемые как document.pdf или invoice.pdf. Эти файлы содержат ссылки на облачные хранилища, например, OneDrive или Dropbox, откуда загружается дополнительный вредоносный контент. Важной деталью является то, что PDF-файл облегчает загрузку следующего этапа атаки — файла в формате VBS или HTML, код которого запутан, но при этом относительно легко расшифровывается экспертами по кибербезопасности.
Запуск HTML-файла активирует скрипт, который проверяет языковые настройки браузера посетителя. Есть две версии этого файла:
- Первая предотвращает загрузку VBS-файла, если язык браузера — английский.
- Вторая исключает загрузку вредоносного ПО при установленных английском и русском языках.
Если язык браузера совпадает с исключениями, пользователю показывается только PDF-документ — своего рода приманка, не вызывающая вредоносных действий.
Изменения в способах распространения вредоносного кода
Ранее специалисты Fortinet зафиксировали, что для загрузки JAR-файлов от Adwind требовалась установка среды выполнения Java. В этой кампании злоумышленники усложнили задачу защитникам, распространяя вредоносное ПО в виде ZIP-архива, который включает в себя:
- Среду выполнения Java, необходимую для запуска вредоносного JAR-файла.
- Вредоносный JAR-файл, замаскированный под картинку PNG с названием InvoiceXpress.png.
- Командный скрипт InvoiceXpress.cmd, обеспечивающий выполнение вредоносного кода.
Кроме того, в JAR-файл внедрена контрольная сумма, которая помогает в настройке и согласует структуру кода с ранее известными вариантами поведения Adwind.
Целевая платформа и уникальный идентификатор кампании
Несмотря на мультиплатформенные возможности вредоносного ПО Adwind, текущая кампания направлена преимущественно на заражение Windows-систем, что соответствует предыдущим тенденциям в размножении данного ПО.
Для идентификации данной атаки был присвоен уникальный хеш:
fa4d23db65a28bd9a2b989e5b0e0c42d d1536a921d7d9fcab7dc35d64a3f8564b026098b 7b0e104fabb376c00379b81b138f853d2df760a9050266e8384f07be211f07df.
Заключение
Эта кампания демонстрирует современные подходы злоумышленников к использованию социальной инженерии и эксплойтов, позволяющих максимально эффективно заражать целевые системы. Обход языковых фильтров и маскировка вредоносного кода под легитимные файлы показывают необходимость повышения бдительности пользователей и совершенствования систем защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
