Фейковые предложения о работе от Corsair на LinkedIn продвигают вредоносное ПО DarkGate

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 20 Oct 2023.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    962
    Likes Received:
    2,311
    Reputations:
    25
    [​IMG]

    Акторы используют поддельные сообщения на LinkedIn и прямые сообщения о вакансии специалиста по рекламе на Facebook в компании Corsair, чтобы заманить людей на загрузку вредоносных программ, похищающих информацию, таких как DarkGate и RedLine.

    Компания WithSecure, специализирующаяся на кибербезопасности, обнаружила эту активность и отследила деятельность группы, показав в сегодняшнем отчете, что она связана с вьетнамскими киберпреступными группами, ответственными за кампании "Ducktail", впервые замеченные в прошлом году.

    Эти кампании направлены на кражу ценных бизнес-аккаунтов Facebook, которые могут быть использованы для вредоносной рекламы или проданы другим киберпреступникам.

    Впервые DarkGate был замечен в 2017 году, но его развертывание оставалось ограниченным до июня 2023 года, когда его автор решил продать доступ к вредоносной программе более широкой аудитории.

    Среди недавних примеров использования DarkGate - фишинговые атаки через Microsoft Teams с рассылкой полезной нагрузки, а также использование взломанных учетных записей Skype для отправки VBS-скриптов, запускающих цепочку заражения, ведущую к появлению вредоносной программы.

    Приманка Corsair

    Целью вьетнамских злоумышленников были в основном пользователи из США, Великобритании и Индии, занимающие руководящие должности в социальных сетях и, скорее всего, имеющие доступ к бизнес-аккаунтам Facebook. Заманивание осуществляется через LinkedIn и заключается в предложении работы в компании Corsair.

    Цели обманом загружают вредоносные файлы с URL-адреса ("g2[.]by/corsair-JD"), который перенаправляет на Google Drive или Dropbox, где находится ZIP-файл ("Salary and new products.8.4.zip") с документом в формате PDF или DOCX и TXT-файлом со следующими именами:
    • Job Description of Corsair.docx
    • Salary and new products.txt
    • PDF Salary and Products.pdf
    Исследователи WithSecure проанализировали метаданные указанных файлов и обнаружили зацепки для распространения RedLine stealer.

    Загружаемый архив содержит VBS-скрипт, возможно, встроенный в DOCX-файл, который копирует и переименовывает файл 'curl.exe' в новое место и использует его для загрузки файла 'autoit3.exe' и скомпилированного скрипта Autoit3.

    Исполняемый файл запускает скрипт, а тот деобфусцирует себя и конструирует DarkGate, используя строки, присутствующие в скрипте.

    Через 30 секунд после установки вредоносная программа пытается удалить продукты безопасности со скомпрометированной системы, что свидетельствует о наличии автоматизированного процесса.

    В конце прошлого года LinkedIn представила функции для борьбы со злоупотреблениями в платформе, которые могут помочь пользователям определить, является ли учетная запись подозрительной или поддельной. Тем не менее, прежде чем вступать в коммуникацию с новым аккаунтом, пользователи должны сами проверить проверенную информацию.

    Компания WithSecure опубликовала список индикаторов компрометации (IoC), которые могут помочь организациям защититься от действий этого угрожающего агента. В список включены IP-адреса, используемые домены, URL-адреса, метаданные файлов и имена архивов.

     
Loading...