Вредоносное ПО для кражи информации TinyNuke вновь появилось в новой кампании, нацеленной на французских пользователей, с помощью приманок на тему счетов-фактур в электронных письмах, отправляемых на корпоративные адреса и лиц, работающих в сфере производства, технологий, строительства и бизнес-услуг.
Цель этой кампании - украсть учетные данные и другую личную информацию и установить дополнительные полезные данные в скомпрометированной системе.
Возрождение TinyNuke
Активность вредоносного ПО TinyNuke впервые появилась в 2017 году, достигла кульминации в 2018 году, затем значительно снизилась в 2019 году и почти исчезла в 2020 году.Наблюдение за новыми атаками, развертывающими конкретную разновидность вредоносного ПО в 2021 году, удивительно, но не совсем неожиданно.
Количество кампаний в год
Источник: Proofpoint
По словам исследователей из Proofpoint, которые следили за этими кампаниями, это возрождение проявляется через два различных набора действий, с отдельной инфраструктурой C2, полезными нагрузками и темами приманки.
Это также может указывать на то, что вредоносное ПО используется двумя разными субъектами, один из которых связан с исходными участниками TinyNuke, а другой - с субъектами, которые обычно используют стандартные инструменты.
Наконец, нет никакого совпадения с распространением PyLocky, как это было в 2018 году, или с любыми другими случаями заражения вымогателями на этот раз.
Полезные данные, размещенные на законных сайтах
Злоумышленник взламывает законные французские веб-сайты для размещения URL-адреса полезной нагрузки, в то время как исполняемые файлы маскируются под безобидное программное обеспечение.
Индикаторы компрометации для недавних кампаний TinyNuke
Источник: Proofpoint
Для связи C2 самые последние кампании используют Tor, который используется с 2018 года.
Одна из строк, «никоумук», используемая в этих сообщениях, совпадает с жаргонным термином, обнаруженным в анализе 2018 года, что дополнительно связывает эту кампанию с исходными участниками угрозы.
«Исследователи Proofpoint наблюдали строку« nikoumouk », отправленную на сервер C2 с неизвестной целью. Согласно информации партнеров по обмену информацией и информации из открытых источников, субъекты ранее использовали эту строку в сообщениях C2 в предыдущих кампаниях с 2018 года», - поясняется в отчете Proofpoint .
«Струна - это оскорбление в популярном арабском языке, который в основном используется во франкоговорящих пригородах Европы».
В текущих кампаниях электронные письма содержат URL-адреса для загрузки файлов ZIP. Эти ZIP-файлы содержат файл JavaScript, который будет выполнять команды PowerShell для загрузки и выполнения вредоносной программы TinyNuke.
Код PowerShell, извлекающий ZIP-файл с полезной нагрузкой.Источник: Proofpoint.
Что касается возможностей, загрузчик TinyNuke может красть учетные данные с помощью функций захвата форм и веб-инъекций для Firefox, Internet Explorer и Chrome, а также может устанавливать дополнительные полезные нагрузки.
Сохранение защищено путем добавления нового раздела реестра, как показано ниже:
Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\x00E02BC647BACE72A1\xe4\x8d\x82
Data: C:\Users\[User]\AppData\Roaming\E02BC647BACE72A1\firefox.exe
Μise en garde
Хотя в текущих кампаниях используются определенные приманки, участники могут обновлять свои сообщения, чтобы представить получателям новые приманки.Кроме того, если новые участники используют TinyNike, это, вероятно, означает, что оригинальные авторы продают его в темной сети, или его код может распространяться независимо, поскольку он был выпущен на GitHub несколько лет назад.
В любом случае его развертывание может еще больше увеличиться, а диапазон электронных приманок, используемых против целей, может стать очень широким.
Пример сообщения из недавней кампании TinyNuke
Источник: Proofpoint
Жизненно важно сохранять бдительность и избегать нажатия на встроенные кнопки, ведущие на сайты, на которых размещен вредоносный сжатый исполняемый файл.
Поскольку в остальном эти сайты являются законными, ваше решение для обеспечения безопасности в Интернете может не выдавать никаких флажков, поэтому рекомендуется проявлять особую осторожность.
OC CLUB
Последнее редактирование модератором:
