Вредоносное ПО для кражи информации TinyNuke снова атакует французских пользователей

1639478874998.png


Вредоносное ПО для кражи информации TinyNuke вновь появилось в новой кампании, нацеленной на французских пользователей, с помощью приманок на тему счетов-фактур в электронных письмах, отправляемых на корпоративные адреса и лиц, работающих в сфере производства, технологий, строительства и бизнес-услуг.

Цель этой кампании - украсть учетные данные и другую личную информацию и установить дополнительные полезные данные в скомпрометированной системе.

Возрождение TinyNuke​

Активность вредоносного ПО TinyNuke впервые появилась в 2017 году, достигла кульминации в 2018 году, затем значительно снизилась в 2019 году и почти исчезла в 2020 году.

Наблюдение за новыми атаками, развертывающими конкретную разновидность вредоносного ПО в 2021 году, удивительно, но не совсем неожиданно.

campaigns.jpg

Количество кампаний в год
Источник: Proofpoint

По словам исследователей из Proofpoint, которые следили за этими кампаниями, это возрождение проявляется через два различных набора действий, с отдельной инфраструктурой C2, полезными нагрузками и темами приманки.

Это также может указывать на то, что вредоносное ПО используется двумя разными субъектами, один из которых связан с исходными участниками TinyNuke, а другой - с субъектами, которые обычно используют стандартные инструменты.

Наконец, нет никакого совпадения с распространением PyLocky, как это было в 2018 году, или с любыми другими случаями заражения вымогателями на этот раз.

Полезные данные, размещенные на законных сайтах​

Злоумышленник взламывает законные французские веб-сайты для размещения URL-адреса полезной нагрузки, в то время как исполняемые файлы маскируются под безобидное программное обеспечение.

IoCs.jpg


Индикаторы компрометации для недавних кампаний TinyNuke
Источник: Proofpoint

Для связи C2 самые последние кампании используют Tor, который используется с 2018 года.

Одна из строк, «никоумук», используемая в этих сообщениях, совпадает с жаргонным термином, обнаруженным в анализе 2018 года, что дополнительно связывает эту кампанию с исходными участниками угрозы.

«Исследователи Proofpoint наблюдали строку« nikoumouk », отправленную на сервер C2 с неизвестной целью. Согласно информации партнеров по обмену информацией и информации из открытых источников, субъекты ранее использовали эту строку в сообщениях C2 в предыдущих кампаниях с 2018 года», - поясняется в отчете Proofpoint .

«Струна - это оскорбление в популярном арабском языке, который в основном используется во франкоговорящих пригородах Европы».

В текущих кампаниях электронные письма содержат URL-адреса для загрузки файлов ZIP. Эти ZIP-файлы содержат файл JavaScript, который будет выполнять команды PowerShell для загрузки и выполнения вредоносной программы TinyNuke.

powershell.pngКод PowerShell, извлекающий ZIP-файл с полезной нагрузкой.
Источник: Proofpoint.
Что касается возможностей, загрузчик TinyNuke может красть учетные данные с помощью функций захвата форм и веб-инъекций для Firefox, Internet Explorer и Chrome, а также может устанавливать дополнительные полезные нагрузки.

Сохранение защищено путем добавления нового раздела реестра, как показано ниже:

Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\x00E02BC647BACE72A1\xe4\x8d\x82
Data: C:\Users\[User]\AppData\Roaming\E02BC647BACE72A1\firefox.exe

Μise en garde​

Хотя в текущих кампаниях используются определенные приманки, участники могут обновлять свои сообщения, чтобы представить получателям новые приманки.

Кроме того, если новые участники используют TinyNike, это, вероятно, означает, что оригинальные авторы продают его в темной сети, или его код может распространяться независимо, поскольку он был выпущен на GitHub несколько лет назад.

В любом случае его развертывание может еще больше увеличиться, а диапазон электронных приманок, используемых против целей, может стать очень широким.

message.jpg

Пример сообщения из недавней кампании TinyNuke
Источник: Proofpoint

Жизненно важно сохранять бдительность и избегать нажатия на встроенные кнопки, ведущие на сайты, на которых размещен вредоносный сжатый исполняемый файл.

Поскольку в остальном эти сайты являются законными, ваше решение для обеспечения безопасности в Интернете может не выдавать никаких флажков, поэтому рекомендуется проявлять особую осторожность.

OC CLUB​

 
Последнее редактирование модератором:
Назад
Сверху Снизу