Кибератаки Seqrite: новая угроза с вымогателем Xelera
Недавний отчет специалистов APT-команды Seqrite Labs выявил серию киберкампаний, сосредоточенных на использовании программы-вымогателя Xelera. Основной целевой группой злоумышленников стали соискатели технических должностей в Продовольственной корпорации Индии (FCI). Хакеры применяют метод социальной инженерии, маскируя вредоносные документы под уведомления о приеме на работу, что делает атаки особенно коварными.
Механизм атаки: внедрение вируса через документы
Начальная фаза заражения начинается с распространения документа Word с обманчивым названием FCEI-job-notification.doc, который содержит вредоносный встроенный контент с использованием OLE-потоков. После того как жертва открывает этот документ, запускается полезная нагрузка, замаскированная под исполняемый файл на основе PyInstaller — jobnotification2025.exe.
Разбор вредоносного кода
Исследователи идентифицировали встроенный OLE-объект как сжатый двоичный файл PyInstaller объемом 31,5 МБ. Анализ выявил различные файлы и библиотеки на Python, среди которых:
- mainscript.pyc
- psutil
- aiohttp
- asyncio
Эти компоненты указывают на возможность управления, включая загрузку украденных данных и инструкций с удаленного сервера. В ходе дальнейшего изучения жизненного цикла заражения основной файл .pyc был декомпилирован для выявления зависимостей от множества библиотек, необходимых для работы программы-вымогателя.
Механизм управления атаками
Злоумышленники используют бота Discord в качестве механизма управления, позволяющего им внедрять удаленные команды после заражения. Этот бот существенно облегчает фильтрацию данных, включая учетные данные браузера, файлы cookie и информацию для входа в систему.
Особенности работы программы-вымогателя
Программа-вымогатель Xelera обладает рядом вредоносных функций. В частности, она:
- Отслеживает системные процессы для поддержания постоянства.
- Содержит функцию kill_explorer, которая завершает работу проводника Windows, если не обнаружен определенный процесс memz.exe.
- Перезаписывает главную загрузочную запись (MBR), что приводит к невозможности загрузки системы.
- Рассылает спам в заголовках Windows и удаляет файлы на рабочем столе.
- Заменяет обои рабочего стола.
Кроме того, программа использует технологию преобразования текста в речь для информирования пользователя о взломе системы. Хотя на данный момент Xelera не использует шифрование для своей полезной нагрузки, она активно участвует в краже учетных данных и утечках информации.
Финансовые мотивы и киберпреступные схемы
Финансовая мотивация злоумышленников подчеркивается транзакциями с определенным криптовалютным кошельком, который используется для выплат выкупа. Изощренность применяемых методов и использование популярных фреймворков, таких как PyInstaller, свидетельствуют о современных тенденциях в киберпреступности, где законные инструменты используются в преступных целях.
Эта кампания демонстрирует, как тактика социальной инженерии, в сочетании с техническим мастерством, может привести к серьезным хакерским атакам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
