СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
31.03.2025
#Dev#ИБ#ИИ

Вредоносная кампания Target на польскоязычных разработчиков

Вредоносная кампания Target на польскоязычных разработчиков

Источник: cyble.com

Cyble обнаружила новую вредоносную кампанию, специально предназначенную для польскоязычных разработчиков. Хакеры используют fraudulent software tests, размещенные на GitHub, чтобы заманить жертв через мошенническую верстку.

Маскировка под тест на набор персонала

В центре этой схемы находится репозиторий, который маскируется под законный тест на набор персонала с названием «FizzBuzz». Эта установка побуждает соискателей загружать ISO—файл, содержащий вредоносные элементы.

Механизм работы

После загрузки ISO-файла, ярлык LNK запускает скрипт PowerShell, который устанавливает бэкдор, известный как FogDoor. Этот бэкдор имеет следующие цели:

  • Облегчение кражи данных.
  • Обеспечение скрытности через метод распознавания скрытых данных (DDR).
  • Использование социальной сети для получения оперативных команд.

Целевое поведение вредоносной программы

FogDoor демонстрирует целенаправленное поведение, включая:

  • Геозону, ограничивающую доступ к жертвам в Польше.
  • Сложные методы утечки данных: кража файлов cookie браузера, сохраненных учетных данных и системной информации.
  • Использование запланированных задач для постоянного активирования каждые две минуты.

Кроме того, программа удаляет все следы своей активности после завершения операций и сжимает украденные данные в ZIP-файл перед загрузкой в файлообменный сервис, что минимизирует риск обнаружения.

Адаптация тактики хакера

Вектор атаки постоянно меняется. Кампания вышла за рамки вербовки и включает в себя приманки, связанные с выставлением счетов. Недавние вредоносные ярлыки LNK по-прежнему используют бэкдор FogDoor, что демонстрирует адаптивность хакера и его стратегию таргетинга на аудиторию, ищущую работу.

Рекомендации по безопасности

Проведенный анализ подчеркивает важность бдительности потенциальных жертв, особенно в профессиях, подверженных мошенничеству при приеме на работу. Если определенные условия не выполняются, например, отсутствие файла «README.txt», вредоносный скрипт продолжает свою активность, создавая отвлекающий файл-приманку.

Данная кампания иллюстрирует эволюцию хакерской среды, в которой злоумышленники постоянно совершенствуют свою тактику для максимизации воздействия и оставления незамеченными.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: