Кампания проводилась с помощью фишингового новостного сайта
Неизвестный злоумышленник атаковал немецких пользователей, заинтересованных в украинском кризисе, заражая их трояном удаленного доступа PowerShell RAT и крадя их данные.
Вредоносная кампания использует сайт-приманку для заманивания пользователя на фальшивую новостную статью с неизданной информацией о ситуации на Украине. Сайт содержит вредоносный документ, устанавливающий RAT с возможностью удаленного выполнения команд и файловых операций. Кампания была раскрыта аналитиками угроз Malwarebytes, предоставившие все детали и признаки компрометации в своем отчете.
Киберпреступник зарегистрировал домен для фишингового сайта collaboration-bw [.] de после истечения срока настоящего домена и клонировал внешний вид реального сайта.
Посетитель сайта может найти вредоносный файл для скачивания под названием «2022-Q2-Bedrohungslage-Ukraine» с информацией о ситуации на Украине.
Согласно тексту, документ постоянно обновляется новой информацией, и пользователю настоятельно рекомендуется скачивать свежую копию каждый день. Загруженный ZIP-архив содержит CHM-файл, состоящий из нескольких скомпилированных HTML-файлов. При открытии файла выдается поддельное сообщение об ошибке.
В это время в фоновом режиме файл запускает PowerShell и Base64 деобфускатор, который приводит к извлечению и выполнению вредоносного кода с поддельного сайта.
В итоге скрипт загружает на компьютер жертвы два файла: RAT в виде .txt файла и .cmd файл, который помогает выполнить вредоносный код через PowerShell.
PowerShell RAT скрывается в Status.txt и начинает свою вредоносную операцию со сбора базовой системной информации и присвоения уникального идентификатора клиента. Затем украденная информация эксфильтрируется в немецкий домен kleinm [.] de. Для обхода Windows AMSI (Anti-malware Scan Interface) RAT использует зашифрованную AES функцию bypass, которая расшифруется на лету с помощью сгенерированного ключа.
Основные возможности RAT заключаются в следующем:
«Сложно приписать злонамеренную деятельность конкретному субъекту. Основываясь только на мотивации, мы предполагаем, что российский злоумышленник может быть нацелен на немецких пользователей, но без четких связей в инфраструктуре или сходства с известными TTP», - объясняет Malwarebytes в отчете.
Пользователю нужно быть осторожным с загрузкой файлов из Интернета, поскольку даже известные и ранее доверенные веб-сайты, возможно, тихо перешли из рук в руки. Когда дело доходит до новостных сайтов, предложение скачать материал в формате документа можно рассматривать как потенциальную угрозу.
Неизвестный злоумышленник атаковал немецких пользователей, заинтересованных в украинском кризисе, заражая их трояном удаленного доступа PowerShell RAT и крадя их данные.
Вредоносная кампания использует сайт-приманку для заманивания пользователя на фальшивую новостную статью с неизданной информацией о ситуации на Украине. Сайт содержит вредоносный документ, устанавливающий RAT с возможностью удаленного выполнения команд и файловых операций. Кампания была раскрыта аналитиками угроз Malwarebytes, предоставившие все детали и признаки компрометации в своем отчете.
Киберпреступник зарегистрировал домен для фишингового сайта collaboration-bw [.] de после истечения срока настоящего домена и клонировал внешний вид реального сайта.
Посетитель сайта может найти вредоносный файл для скачивания под названием «2022-Q2-Bedrohungslage-Ukraine» с информацией о ситуации на Украине.
Согласно тексту, документ постоянно обновляется новой информацией, и пользователю настоятельно рекомендуется скачивать свежую копию каждый день. Загруженный ZIP-архив содержит CHM-файл, состоящий из нескольких скомпилированных HTML-файлов. При открытии файла выдается поддельное сообщение об ошибке.
В это время в фоновом режиме файл запускает PowerShell и Base64 деобфускатор, который приводит к извлечению и выполнению вредоносного кода с поддельного сайта.
В итоге скрипт загружает на компьютер жертвы два файла: RAT в виде .txt файла и .cmd файл, который помогает выполнить вредоносный код через PowerShell.
PowerShell RAT скрывается в Status.txt и начинает свою вредоносную операцию со сбора базовой системной информации и присвоения уникального идентификатора клиента. Затем украденная информация эксфильтрируется в немецкий домен kleinm [.] de. Для обхода Windows AMSI (Anti-malware Scan Interface) RAT использует зашифрованную AES функцию bypass, которая расшифруется на лету с помощью сгенерированного ключа.
- Загрузка файлов с C2 сервера (Command and Control, C&C);
- Загрузка файлов на C2 сервер;
- Загрузка и выполнение скрипта PowerShell;
- Выполнение определенных команд;
«Сложно приписать злонамеренную деятельность конкретному субъекту. Основываясь только на мотивации, мы предполагаем, что российский злоумышленник может быть нацелен на немецких пользователей, но без четких связей в инфраструктуре или сходства с известными TTP», - объясняет Malwarebytes в отчете.
Пользователю нужно быть осторожным с загрузкой файлов из Интернета, поскольку даже известные и ранее доверенные веб-сайты, возможно, тихо перешли из рук в руки. Когда дело доходит до новостных сайтов, предложение скачать материал в формате документа можно рассматривать как потенциальную угрозу.
Последнее редактирование модератором:
