+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Cofense виявила, що зловмисники заражають комп'ютери на базі Windows, використовуючи підроблені резюме.

Cofense виявила, що зловмисники заражають комп'ютери на базі Windows, використовуючи підроблені резюме

Фахівці компанії Cofense виявили нову фішингову операцію, в рамках якої зловмисники заражають комп'ютери на базі Windows інструментом для віддаленого адміністрування (RAT) Quasar, використовуючи підроблені резюме.

У той час як фальшиві резюме та інші типи документів є досить поширеним методом доставки шкідливого ПЗ, одна з особливостей нової кампанії полягає у використанні кількох методів, що ускладнюють проведення аналізу векторів зараження.

Quasar – відомий відкритий інструмент, розроблений мовою C#, який раніше неодноразово був помічений в операціях різних угруповань хакерів, наприклад, APT33, APT10, Dropping Elephant, Stone Panda або The Gorgon Group. Функціонал програми включає можливість віддаленого підключення до робочого столу, запису натискань на клавіатурі та крадіжки паролів жертв, завантаження та ексфільтрації файлів, управління процесами на зараженому пристрої, а також можливість зйомки скріншотів та запису з web-камер.

У рамках нової фішингової кампанії зловмисники під виглядом резюме розповсюджують захищені паролем документи Microsoft Word. Після введення пароля «123», зазначеного у фішинговому повідомленні, документ вимагає активації макросу. Однак, на відміну від інших подібних атак, у цьому випадку макрос містить «сміттєвий» код, закодований у base64, покликаний вивести з ладу аналітичні інструменти, встановлені на комп'ютері.

«При успішному запуску макросу на екрані відобразиться ряд зображень, які нібито завантажують контент, але одночасно з цим додають «сміттєвий» рядок у вміст документа. Далі відобразиться повідомлення про помилку, але в той же час у фоновому режимі на комп'ютер завантажиться і запуститься шкідливий файл, що виконується», - пояснили експерти.

Зараження програмою Quasar відбувається через саморозпаковується виконуваний файл розміром 401 МБ, що завантажується з підконтрольного зловмисникам сервера. Великий розмір архіву ускладнює завдання аналізу шкідливого програмного забезпечення, зазначають дослідники.

Інші новини

Найкраща ціна