Вредоносная кампания во Вьетнаме: технологии обхода и контроля
Источник: cyble.com
Cyble Research and Intelligence Labs (CRIL) выявила масштабную и хитроумную вредоносную кампанию, целевая аудитория которой состоит в основном из организаций во Вьетнаме, работающих в сфере телемаркетинга и продаж. Эта кампания использует современные методы атаки, что позволяет злоумышленникам эффективно обходить системы безопасности.
Методы распространения вредоносной программы
Вредоносное программное обеспечение распространяется через ZIP-файлы, которые содержат:
- файл .LNK, замаскированный под PDF;
- файл проекта XML, замаскированный под изображение в формате PNG.
Пользователи обманываются, заставляя открывать эти файлы, что запускает процесс заражения. Файл .LNK инициирует запланированную задачу, которая выполняется каждые 15 минут, используя MSBuild.exe для исполнения встроенного кода на C#.
Технология двойного внедрения
Вредоносная программа применяет _технологию двойного внедрения_, позволяющую обойти традиционные методы обнаружения. Основные характеристики этой технологии включают:
- процессное внедрение;
- отражающие методы внедрения DLL.
Эти подходы позволяют маскировать вредоносный код, работая непосредственно в памяти и избегая сохранения следов на диске.
Каналы связи и сбор данных
После активации запланированной задачи, вредоносная программа устанавливает связь с хакером через веб-API Telegram. Это обеспечивает:
- передачу команд;
- извлечение украденных данных.
Среди функций вредоносного ПО — проверка среды, определение архитектуры системы и расшифровка компонентов во время выполнения, что препятствует анализу со стороны специалистов по кибербезопасности. Для шифрования и обфускации данных используется декодирование Base64 и XOR-дешифрование, делая анализ затруднительным.
Угрозы для данных конфиденциальности
Особое внимание стоит уделить тому, что вредоносная программа была специально создана для обхода шифрования приложений Chrome, что было внедрено с версией 127 для защиты конфиденциальных данных. Основные механизмы, используемые для извлечения информации, включают:
- доступ к важным файлам в каталоге пользовательских данных;
- извлечение зашифрованного секретного ключа с помощью регулярных выражений.
Эти действия позволяют хакерам получать доступ к защищённым данным, включая файлы cookie и пользовательские данные для входа.
Заключение
Таким образом, текущая вредоносная кампания демонстрирует высокую степень sophistication в распространении и выполнении вредоносных программ. Использование социальной инженерии, запланированных задач и сложных методов уклонения создаёт серьёзные риски для пострадавших организаций. Платформа Telegram в этом контексте играет ключевую роль в командно-контрольных операциях, усиливая угроза для безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
