Программа-вымогатель FOG: новые методы распространения и атаки

Недавние исследования образцов вредоносного ПО подтвердили, что программа-вымогатель FOG использует продвинутые методы социальной инженерии для своего распространения. Основное внимание было уделено девяти образцам, обнаруженным на платформе VirusTotal, которые распространяются через фишинговые электронные письма с использованием ссылок на правительственные организации.

Методы распространения

Образцы программы-вымогателя FOG были представлены в ZIP-архиве с именем Pay Adjustment.zip, содержащем файл LNK. Они отправляются пользователям, которые находятся под влиянием информации от Департамента эффективности государственного управления (DOGE) действующей администрации США.

Цепочка заражения

Программа FOG обладает многоэтапной цепочкой заражения, которая начинается с активации файла LNK, запускающего сценарий PowerShell stage1.ps1. Этот скрипт выполняет следующие действия:

• Загружает исполняемые файлы, такие как cwiper.exe и ktool.exe.
• Содержит дополнительные вспомогательные скрипты PowerShell.
• Открывает видеоролики на политическую тематику на YouTube и встраивает политические комментарии в код.

Проверка окружения

Перед активацией программа-вымогатель проводит комплексную проверку, чтобы установить, работает ли она в изолированной среде. Это включает в себя оценку:

• количества процессоров;
• объема оперативной памяти;
• MAC-адресов.

Если условия указывают на отсутствие изолированной среды, вредоносное ПО продолжает свою работу, в противном случае – завершает выполнение.

Логи и требования выкупа

Загрузчик программы выполняет создание файла журнала dbgLog.sys для регистрации событий шифрования, что соответствует поведению, наблюдаемому в предыдущих версиях программы-вымогателя FOG. Также исследованные образцы содержали записку с требованием выкупа, что подтверждает их идентичность с предыдущими инцидентами.

Целевые области и последствия

Согласно последним данным, программа-вымогатель FOG нацелена на различные сектора, включая:

• технологии;
• образование;
• производство;
• транспорт.

По оценкам, жертвами FOG стали не менее 100 человек, с пиками активности в определенные месяцы. Окончательная полезная нагрузка была подтверждена как Ransom.Win32.FOG.SMYPEFG, а различные образцы отличались только ключами расшифровки.

Заключение

Тренды в распространении программы-вымогателя FOG подчеркивают адаптивные стратегии хакеров, что создает необходимость повышенной осведомленности пользователей и внедрения надежных мер защиты от фишинга и программ-вымогателей. Эти изменения ставят под угрозу не только первичных операторов FOG, но и потенциально других злоумышленников, внедряющих аналогичные программы в свои сети.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.