Рост угрозы Infostealer: новые методы кражи данных в Южной Корее

Рост угрозы Infostealer: новые методы кражи данных в Южной Корее

Источник: asec.ahnlab.com

Вредоносное ПО Infostealer угрожает безопасности пользователей в Южной Корее и за её пределами

Аналитический центр безопасности Ahnlab (ASEC) выявил опасную тенденцию, связанную с распространением вредоносного ПО Infostealer, которое маскирует данные, связанные с юридическими обязательствами и нарушениями авторских прав. Эта угроза активно распространяется через электронные письма, содержащие ссылки, якобы ведущие к доказательствам нарушения авторских прав, вводя пользователей в заблуждение и побуждая их запускать заражённые файлы.

Методы распространения и внедрения вредоносного ПО

Вредоносное программное обеспечение Infostealer упаковано в сжатый файловый формат и распространено двумя основными способами:

  • Загрузка DLL через подложные исполняемые файлы:
    В первом методе злоумышленники используют технику сторонней загрузки библиотеки DLL. Они размещают вредоносный файл библиотеки динамических ссылок (DLL) в том же каталоге, что и легитимное приложение. При запуске такого приложения у пользователя под видом законной программы для чтения PDF-файлов одновременно запускается вредоносная библиотека. Активировавшись, вредоносная программа Rhadamanthys Infostealer внедряется в обычные процессы Windows, похищая конфиденциальную информацию, включая данные электронной почты, FTP и онлайн-банкинга, которые затем передаются на сервер злоумышленников.
  • Использование поддельных PDF с двойным расширением:
    Другой способ — это распространение исполняемого файла с двойным расширением, маскирующегося под PDF-документ. Вместе с ним идёт текстовый файл с инструкциями, побуждающими пользователя запустить вредоносный EXE-файл. После запуска Infostealer использует команды PowerShell для завершения определённых процессов и сбора конфиденциальной информации, включая данные учетных записей браузера и скриншоты экрана, которые также отправляются на удалённый сервер злоумышленников.

Глобальный масштаб атаки и социальная инженерия

Хотя основная активность Infostealer наблюдается в Южной Корее, аналогичные атаки зарегистрированы в Таиланде, Венгрии, Португалии, Греции и Японии. Злоумышленники используют психологическое давление — имена файлов часто вызывают страх или настороженность, что стимулирует пользователя к запуску опасных вложений.

Рекомендации по защите пользователей

В условиях растущей активности Infostealer крайне важно:

  • Проявлять осторожность при открытии писем от неизвестных отправителей;
  • Никогда не запускать файлы с подозрительными двойными расширениями или те, что вызывают сомнения;
  • Избегать запуска программ, полученных по электронной почте или через мессенджеры, без проверки их подлинности;
  • Использовать антивирусное программное обеспечение и своевременно обновлять систему безопасности;
  • Обращать внимание на потенциальные признаки вредоносной активности, включая необычное поведение программ и системных процессов.

Как отмечают эксперты Ahnlab, высокая эффективность Infostealer связана с тем, что даже законные программы могут непреднамеренно запускать вредоносные библиотеки DLL. Поэтому повышение осведомлённости и осторожность остаются ключевыми факторами защиты от данной угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: