Рост угрозы Infostealer: новые методы кражи данных в Южной Корее

Источник: asec.ahnlab.com
Вредоносное ПО Infostealer угрожает безопасности пользователей в Южной Корее и за её пределами
Аналитический центр безопасности Ahnlab (ASEC) выявил опасную тенденцию, связанную с распространением вредоносного ПО Infostealer, которое маскирует данные, связанные с юридическими обязательствами и нарушениями авторских прав. Эта угроза активно распространяется через электронные письма, содержащие ссылки, якобы ведущие к доказательствам нарушения авторских прав, вводя пользователей в заблуждение и побуждая их запускать заражённые файлы.
Методы распространения и внедрения вредоносного ПО
Вредоносное программное обеспечение Infostealer упаковано в сжатый файловый формат и распространено двумя основными способами:
- Загрузка DLL через подложные исполняемые файлы:
В первом методе злоумышленники используют технику сторонней загрузки библиотеки DLL. Они размещают вредоносный файл библиотеки динамических ссылок (DLL) в том же каталоге, что и легитимное приложение. При запуске такого приложения у пользователя под видом законной программы для чтения PDF-файлов одновременно запускается вредоносная библиотека. Активировавшись, вредоносная программа Rhadamanthys Infostealer внедряется в обычные процессы Windows, похищая конфиденциальную информацию, включая данные электронной почты, FTP и онлайн-банкинга, которые затем передаются на сервер злоумышленников. - Использование поддельных PDF с двойным расширением:
Другой способ — это распространение исполняемого файла с двойным расширением, маскирующегося под PDF-документ. Вместе с ним идёт текстовый файл с инструкциями, побуждающими пользователя запустить вредоносный EXE-файл. После запуска Infostealer использует команды PowerShell для завершения определённых процессов и сбора конфиденциальной информации, включая данные учетных записей браузера и скриншоты экрана, которые также отправляются на удалённый сервер злоумышленников.
Глобальный масштаб атаки и социальная инженерия
Хотя основная активность Infostealer наблюдается в Южной Корее, аналогичные атаки зарегистрированы в Таиланде, Венгрии, Португалии, Греции и Японии. Злоумышленники используют психологическое давление — имена файлов часто вызывают страх или настороженность, что стимулирует пользователя к запуску опасных вложений.
Рекомендации по защите пользователей
В условиях растущей активности Infostealer крайне важно:
- Проявлять осторожность при открытии писем от неизвестных отправителей;
- Никогда не запускать файлы с подозрительными двойными расширениями или те, что вызывают сомнения;
- Избегать запуска программ, полученных по электронной почте или через мессенджеры, без проверки их подлинности;
- Использовать антивирусное программное обеспечение и своевременно обновлять систему безопасности;
- Обращать внимание на потенциальные признаки вредоносной активности, включая необычное поведение программ и системных процессов.
Как отмечают эксперты Ahnlab, высокая эффективность Infostealer связана с тем, что даже законные программы могут непреднамеренно запускать вредоносные библиотеки DLL. Поэтому повышение осведомлённости и осторожность остаются ключевыми факторами защиты от данной угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



