Пользователей предупредили о хакерах, распространяющих вирусы через поддельные сайты Google
Изображение: Arkan Perdana (unsplash)
Специалисты по информационной безопасности сообщили об обнаружении новой кампании вредоносного программного обеспечения, в рамках которой злоумышленники используют поддельные страницы Google Sites и технику сокрытия HTML (HTML Smuggling) для распространения коммерческого вредоносного ПО под названием AZORult с целью облегчения кражи информации. Об этом накануне сообщило издание The Hacker News.
Эксперты команды Netskope Threat Labs рассказали, что хакеры в рамках этой кампании пользуются нестандартной техникой сокрытия HTML, в ходе которой внедрение вредоносной полезной нагрузки осуществляется в отдельные файлы JSON, которые размещаются на внешнем веб-ресурсе.
На данный момент исследователи Netskope Threat Labs ещё не смогли понять, какая именно хакерская группировка проводит эти атаки. Однако отмечается, что кибероперация такого типа является крупномасштабной и нацелена на пользователей из различных стран мира, а её основной целью является получение огромного количества конфиденциальных данных для дальнейшей их продажи на ресурсах теневого сегмента интернета.
AZORult, также называемый PuffStealer и Ruzalto, — это программа для кражи информации, впервые обнаруженная примерно в 2016 году. Обычно она распространяется посредством фишинговых и спам-кампаний, троянских установщиков пиратского программного обеспечения или носителей, а также вредоносной рекламы.
После установки вредонос способен собирать учётные данные, файлы cookie и историю из веб-браузеров, снимки экрана, документы, соответствующие списку определённых расширений (.TXT, .DOC, .XLS, .DOCX, .XLSX, .AXX и .KDBX) и данные из 137 криптовалютных кошельков. Файлы AXX — это зашифрованные файлы, созданные AxCrypt, а KDBX — это база данных паролей, созданная менеджером паролей KeePass.
Таким образом, когда пользователя обманом заставляют открыть мошенническую страницу из фишингового электронного письма, браузер декодирует сценарий и извлекает полезную нагрузку на хост-устройстве, эффективно обходя типичные меры безопасности, такие как шлюзы электронной почты, которые, как известно, проверяют только подозрительные вложения.
