Chrome просит обновиться? Подумайте дважды, прежде чем позволить ему это сделать

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Как коварные BitRAT и Lumma Stealer обманывают пользователей, маскируясь под легитимные обновления.

Фальшивые обновления браузеров активно используются для распространения троянов удалённого доступа (RAT) и прочего вредоносного ПО, такого как BitRAT и Lumma Stealer (известный также как LummaC2).

Согласно недавнему отчёту компании по кибербезопасности eSentire, фальшивые обновления браузеров приводят ко множеству заражений вредоносным ПО, включая широко известное SocGholish. В апреле 2024 года было замечено распространение вредоносного ПО FakeBat через аналогичные механизмы фальшивых обновлений.

Атака начинается, когда потенциальная жертва посещает заражённый веб-сайт, содержащий JavaScript-код, который перенаправляет пользователей на поддельную страницу обновления браузера («chatgpt-app[.]cloud»). На этой странице находится ссылка на скачивание архива ZIP («Update.zip»), размещённого на платформе Discord, который автоматически загружается на устройство жертвы.

Использование Discord в качестве вектора атаки становится всё более распространённым: недавний анализ от Bitdefender выявил более 50 000 опасных ссылок, распространяющих вредоносное ПО, фишинг-кампании и спам за последние шесть месяцев.

В ZIP-архиве содержится JavaScript-файл («Update.js»), который запускает выполнение PowerShell-скриптов. Эти скрипты загружают дополнительные полезные нагрузки, включая BitRAT и Lumma Stealer, с удалённого сервера в виде PNG-файлов.

Также загружаются PowerShell-скрипты для обеспечения постоянства и загрузчик на базе .NET, используемый для запуска конечного этапа вредоносного ПО. Эксперты eSentire предполагают, что загрузчик рекламируется как «сервис доставки вредоносного ПО», поскольку используется для распространения как BitRAT, так и Lumma Stealer.

В России и ищешь VPN? Покупай через Телеграмм-бот:

BitRAT — это многофункциональный RAT, позволяющий атакующим собирать данные, добывать криптовалюту, загружать дополнительные бинарные файлы и удалённо управлять заражёнными устройствами. В то же время Lumma Stealer, доступный за $250-1000 в месяц с августа 2022 года, может захватывать информацию из веб-браузеров, криптокошельков и прочих источников.

  Apple и OpenAI: союз, меняющий мир

Компания eSentire отмечает, что приманка в виде фальшивого обновления браузера стала популярным методом проникновения в устройства и сети, демонстрируя способность злоумышленников использовать доверенные имена для максимального охвата и воздействия.

Такие атаки часто используют техники Drive-by загрузок и вредоносную рекламу. В недавнем отчёте ReliaQuest описан новый вариант кампании ClearFake, в которой пользователей обманывают, заставляя вручную копировать и выполнять вредоносный код PowerShell под видом обновления браузера.

Злоумышленники используют поддельные веб-страницы, утверждающие, что «возникла ошибка при отображении этой веб-страницы», и предлагают установить корневой сертификат, следуя ряду шагов, включая копирование и выполнение скрытого кода PowerShell.

После выполнения, PowerShell-код выполняет несколько функций, включая очистку DNS-кэша, отображение сообщения, загрузку дополнительного кода PowerShell и установку вредоносного ПО «LummaC2».

Lumma Stealer стал одним из самых распространённых похитителей информации в 2023 году, наряду с RedLine и Raccoon. Количество журналов, полученных с помощью LummaC2, выставленных на продажу, увеличилось на 110% с третьего по четвёртый квартал 2023 года. Высокая успешность LummaC2 объясняется его эффективностью в инфильтрации систем и извлечении конфиденциальных данных без обнаружения.

В рамках своей защитной деятельности специалистам eSentire удалось оперативно выявить подозрительную активность и изолировать заражённое устройство в системе клиента. Индикаторы компрометации выявленных угроз можно посмотреть здесь.

Этот инцидент подчёркивает важность повышения осведомлённости пользователей о подлинности уведомлений об обновлениях и необходимости скачивания обновлений только из доверенных источников.

Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.

Узнайте, как защититься!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

  Атака на «Snowflake» может стать одной из крупнейших утечек данных в истории

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий