Кіберзлочинне угруповання, що стоїть за серією націлених атак у січні-квітні 2019 року, використовує для викрадення облікових даних шкідливі інструменти, зібрані з доступних, безкоштовних компонентів.
Дослідники з Cisco Talos назвали шкідливу кампанію Frankenstein, оскільки угруповання збирає воєдино пов’язані між собою компоненти і під час операції використовує чотири різних техніки. Під час шкідливих операцій кіберзлочинці використовували такі компоненти з відкритим вихідним кодом:
- Елемент article для визначення, чи запущений зразок на віртуальній машині;
- GitHub-проект, який використовує MSbuild, для виконання команд PowerShell;
- Компонент GitHub-проекту під назвою Fruityc2 для створення стейджера;
- GitHub-проект під назвою PowerShell Empire для агентів.
Для обходу виявлення кіберзлочинці перевіряють запущені на системі програми на зразок Process Explorer, а також, чи не є заражений комп’ютер віртуальною машиною.
Крім іншого, угруповання зробило низку додаткових кроків для того, щоб відповідати тільки на GET-запити, що містять зумовлені поля, такі як cookie-файли сеансу, певна директорія домену тощо. Передані дані захищені шифруванням.
Зараження системи відбувається за двома векторами. Перший передбачає використання шкідливого документа Word для завантаження віддаленого шаблону, що експлуатує уразливість пошкодження пам’яті в Microsoft Office (CVE-2017-11882) для виконання коду.
Другий вектор атаки також передбачає використання шкідливого документа Word. Коли жертва відкриває документ, від неї вимагається активувати макроси, після чого запускається скрипт Visual Basic. Цей скрипт сканує систему на наявність інструментів для аналізу шкідливого ПЗ і в разі виявлення ознак віртуальної машини припиняє роботу.
До речі, незважаючи на безліч шахрайських схем – від нав’язливої реклами і до майнінгу криптовалют за Ваш рахунок – існує кілька простих порад, які вбережуть Ваш браузер і комп’ютер від зовнішніх загроз.
Нагадаємо, Google планує вжити додаткових заходів для боротьби з шахрайськими розширеннями для Chrome. Так, Google планує видаляти розширення з веб-магазину Chrome, якщо вони порушують нові політики.
Також на щорічній конференції Apple для розробників WWDC 2019 була представлена нова технологія авторизації “Увійти за допомогою Apple”. За бажання користувачі можуть приховати свою фактичну адресу пошти, а Apple випадковим чином згенерує тимчасову адресу.
Окрім цього, Mozilla представила чергове оновлення для свого браузера Firefox 67.0.1, який є є першим мінімальним оновленням версії 67 і його можна зараз завантажити для платформи Windows, Linux і macOS.
