Вирусы под видом помощи: тысячи доверчивых компаний пали жертвой PowerShell-скриптов

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Кнопка «исправить» — ваш путь к киберкошмару.

Киберпреступники развернули масштабные атаки с применением методов социальной инженерии против тысяч организаций по всему миру. Их излюбленная тактика – заставить жертв запустить вредоносные скрипты PowerShell под видом решения якобы возникшей технической проблемы.

Главным образом схема эксплуатируется для заражения систем под управлением Windows. Злоумышленники используют поддельные уведомления об ошибках в популярных программах вроде Google Chrome, Microsoft Word и OneDrive. Когда пользователь посещает взломанный, но на первый взгляд легитимный веб-сайт, в его браузере появляется окно с уведомлением о возникшей проблеме.

Жертву просят нажать кнопку “исправить” и вставить отображаемый код в терминал PowerShell или диалоговое окно “Выполнить” в Windows.

Исследователи из Proofpoint выявили по крайней мере две преступные группировки, использующие этот метод атак. Одна из них, вероятно, распространяет вымогательское ПО.

По данным Proofpoint, группировка под названием TA571 использовала этот метод с 1 марта, а группа, стоящая за кампанией ClearFake, применяла его с начала апреля. Обе оставались активными в начале июня. Третья кампания, ClearFix, также протестировала этот вектор атаки с мая.

В ходе атак злоумышленники внедряют на легитимные сайты вредоносный скрипт, который размещается на блокчейне через смарт-контракты Binance Smart Chain (это называется EtherHiding). Затем этот сценарий загружает в браузере жертвы фальшивое предупреждающее окно, побуждающее установить “корневой сертификат” для решения вымышленной проблемы.

Сообщение содержит инструкции по копированию скрипта PowerShell и последующему ручному запуску на компьютере. Программа очищает кэш DNS, удаляет содержимое буфера обмена, отображает ложное сообщение и затем загружает и запускает еще один удаленный сценарий.

В России и ищешь VPN? Покупай через Телеграмм-бот:

Удаленный скрипт выполняет серию проверок Windows Management Instrumentation, а затем устанавливает вредонос Lumma Stealer. Он, в свою очередь, загружает три вредоносных файла: Amadey Loader, загрузчик майнера криптовалюты XMRig с определенной конфигурацией и похитителя буферов обмена криптовалют, подменяющего адреса кошельков на адреса, контролируемые злоумышленниками.

  Sudo в Windows 11: революция в командной строке

В некоторых случаях Amadey Loader устанавливает другие вредоносные программы, включая Go, который, по мнению Proofpoint, является вредоносом JaskaGo, способным работать под управлением Windows и macOS.

В ходе кампании ClearFix использовалась аналогичная тактика. Преступники демонстрировали в браузере ложное сообщение об ошибке Google Chrome, вынуждали жертв открыть PowerShell и вставить вредоносный код. Это приводило к загрузке и запуску инфостилера Vidar Stealer.

В третьей кампании, организованной группировкой TA571, киберпреступники разослали более 100 000 фишинговых писем организациям по всему миру. Послания содержали вредоносное HTML-вложение, замаскированное под страницу Microsoft Word.

При открытии вложения жертва видела ложное сообщение о несуществующей проблеме с предупреждением, что якобы “расширение Word Online не установлено”. Письмо предлагало две опции: “Как исправить” и “Автоисправление”. При выборе “Как исправить” в буфер обмена компьютера копировалась зашифрованная в Base64 команда PowerShell с инструкцией открыть консоль PowerShell и щелкнуть правой кнопкой мыши для ее запуска.
А при нажатии “Автоисправление” через протокол search-ms загружался вредоносный файл “fix.msi” или “fix.vbs” с сервера злоумышленников, размещенного на WebDAV.

Если жертва запускала файл MSI, то устанавливался загрузчик Matanbuchus. А если файл VBS, то загружался и запускался вредоносный код DarkGate.

В Proofpoint предупреждают, что TA571 постоянно меняет фишинговые приманки и модифицирует цепочки своих атак. Исследователи предоставляют примеры индикаторов компрометации и рекомендует организациям обучать сотрудников распознавать подозрительную активность, особенно такие изощренные методы социальной инженерии.

Станьте призраком в интернете

Узнайте как на нашем канале

Присоединяйтесь сейчас

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

  Ticketmaster: Утечка данных может стать катастрофой для компании

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий