Хакеры атаковали финорганизации с помощью трояна-клона Minesweeper

}{акеры начали применять код Python-клона игры Minesweeper, чтобы скрыть в нём вредоносные скрипты и проводить атаки на финансовые организации Европы и США.


Атаки приписывают злоумышленнику, отслеживаемому как «UAC-0188». Он использует легальный код, чтобы скрыть скрипты Python, которые загружают и устанавливают SuperOps RMM.

Superops RMM — это программное обеспечение для удалённого управления, которое предоставляет участникам прямой доступ к скомпрометированным системам.

Хакеры начинают с рассылки электронных писем с адреса «[email protected]» и с темой «Личный веб-архив медицинских документов». Они выдают себя за медицинский центр. Получателю предлагают загрузить файл .SCR размером 33 МБ по ссылке Dropbox. Файл содержит код из Python-клона игры, а также вредоносный код Python, который загружает дополнительные скрипты из удалённого источника («anotepad.com»).

Включение кода Minesweeper в исполняемый файл служит прикрытием для строки размером 28 МБ в кодировке Base64, содержащей вредонос. Кроме того, код Minesweeper содержит функцию с именем «create_license_ver», которая переназначается для декодирования и выполнения скрытого вредоносного кода.

Строка base64 декодируется для сборки ZIP-файла, содержащего установщик MSI для SuperOps RMM, который в конечном итоге извлекается и выполняется с использованием статического пароля.

Исследователи безопасности отмечают, что организации, не использующие продукт SuperOps RMM, должны рассматривать его присутствие или связанную с ним сетевую активность, например обращения к доменам «superops.com» или «superops.ai», как признак хакерской атаки.

28.05.2024
https://habr.com/ru/news/817641/​