Виявлена нова шкідлива програма для Windows, яка поширюється через цільові email-розсилки. Ланцюжок зараження запускає макрос, вбудований в документ Word. Після активації він завантажує з GitHub сценарій PowerShell, який, в свою чергу, завантажує з Imgur код Cobalt Strike, захований в зображенні за методом стеганографії.
Автор знахідки припустив, що це черговий витвір APT-групи MuddyWater, вона ж SeedWorm і TEMP.Zagros. Ці зловмисники теж використовують багатоступеневі скриптові шкідники і розповсюджують їх через електронну пошту.
Тестування, проведене Bleeping Computer, підтвердило результати, отримані дослідником. Декодування шел-коду Cobalt Strike – легітимного інструменту пентестингу – показало, що зловмисники не тільки ховають його в PNG-картинці, але також намагаються видати за нешкідливий EICAR -файл, який перевіряє статус антивірусу.
Насправді це корисне навантаження забезпечує зв’язок з C2-сервером через інтерфейс WinINet (Win32 Internet Extensions). На момент публікації Bleeping Computer домен, в якому автори атаки підняли свій сервер, був поза доступом.
Цей домен, як з’ясував дослідник, який виявив шкідника, був зареєстрований приблизно 20 грудня 2020 року. Віддача PowerShell-скрипта з GitHub почалася 24 грудня 2020 року, і тоді ж з’явилися перші зразки на VirusTotal.
Легітимні сервіси GitHub і Imgur далеко не перший раз використовуються для зберігання і маскування шкідливого коду. Так, з GitHub зовсім нещодавно завантажував один зі своїх модулів самохідний бот Gitpaste-12, а Imgur в цьому році віддавав картинки з кодом Mimikatz в рамках цільових атак на ланцюжка поставок в Японії і країнах Західної Європи.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як безпечно робити покупки в Інтернеті на новорічні свята? Поради
Як безпечно організовувати і брати участь в онлайн-зустрічах?
Як дізнатися, коли було встановлене основне оновлення Windows 10? ІНСТРУКЦІЯ
Зверніть увагу, генеральні прокурори десяти американських штатів подали антимонопольний позов проти Google. Вони звинувачують компанію в змові з Facebook і порушення законодавства про рекламу в Інтернеті.
Окрім цього, три мільйони користувачів стали жертвами шкідливих розширень для браузерів Chrome і Edge. Ці розширення викрадали персональні дані і перенаправляли користувачів на фішингові сайти.
До речі, американська компанія SolarWinds розпочала розслідування кіберінціденту, під час якого зловмисникам вдалося використати продукти SolarWinds в атаках на державні і приватні організації США. Кіберзлочинці змогли скомпрометувати систему збирання софту, яку використовують для моніторингової платформи Orion
Нагадаємо, що iOS 14.3 і iPadOS 14.3 отримали виправлення 11 проблем безпеки, серед яких є настільки серйозні, що зловмисник може виконати код на пристроях iPhone і iPad. Для експлуатації двох найсерйозніших багів хакеру досить використовувати спеціально підготовлений файл шрифту, за допомогою якого можна запустити шкідливий код в системі жертви.
