Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях

Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Неизвестные злоумышленники с июля 2024 года проводят фишинговую кампанию, направленную на пользователей Facebook* в Тайване, чьи аккаунты используются для бизнеса и рекламы.

О новой операции хакеров рассказали специалисты Cisco Talos в новом отчете.

Основным вектором атаки служат фишинговые электронные письма с ссылкой на скачивание вредоносного ПО. Тексты писем составлены на традиционном китайском языке, что указывает на целевую аудиторию, владеющую этим языком. Письма имитируют уведомления от юридических отделов известных компаний, создавая ложное ощущение правовой угрозы.

В письмах содержатся ссылки на поддельные PDF-документы, якобы связанные с нарушением авторских прав. Вредоносные файлы названы так, чтобы создать у жертвы впечатление, что они содержат юридические документы, например: «Сведения о нарушении авторских прав - [название компании].exe» или «[название] Online — объявление о нарушении.exe». Подобные имена файлов и использование популярных брендов указывают на тщательную подготовку злоумышленников, ориентированную на ввод в заблуждение пользователей.

Кампания также включает фишинговые письма, маскирующиеся под уведомления от известных тайваньских производителей и онлайн-магазинов. Такие письма требуют от администратора страницы Facebook удалить «нарушающий» контент в течение 24 часов, угрожая судебными исками и требованием компенсации. Для каждой компании создается уникальный шаблон письма, с определенными названием и контактной информацией, что затрудняет выявление мошеннической активности.

Анализ показал, что киберпреступники используют платформу Appspot[.]com для перенаправления жертв через короткие ссылки на Dropbox, где размещен архив с вредоносным ПО. Такая схема позволяет обойти меры безопасности и затрудняет обнаружение атаки. Кроме того, злоумышленники используют несколько доменов в качестве C2-сервера, что указывает на продолжающееся развитие кампании.

Цепочка заражения начинается со скачивания запароленного архива, который содержит поддельный PDF-файл и инфостилер (Lumma Stealer или Rhadamanthys). Вредоносное ПО собирает конфиденциальные данные жертв, включая пароли и информацию из веб-браузеров, и передает их на C2-сервер.

 uriqzeiqqiuhdrm qtrikuidrhirxrps

Цепочка заражения (Cisco Talos)

Стилер Lumma, написанный на языке C, использует методы обфускации для сокрытия своей деятельности и направлен на кражу данных из системы. Программа запускается в системе через API и внедряет свои функции в оперативную память, что усложняет обнаружение.

Rhadamanthys, впервые появившийся в 2022 году, отличается сложной структурой и устойчивостью к анализу, используя секцию «.rsrc» для размещения вредоносного кода. В целях маскировки стилер копирует себя в папку документов жертвы, увеличивая размер файла до 700 МБ, чтобы обойти антивирусные проверки. Вредонос также добавляет запись в реестр Windows для автоматического запуска при каждом включении компьютера, обеспечивая долгосрочное присутствие в системе.

Завершающий этап работы Rhadamanthys — внедрение своего кода в системный процесс Windows, что позволяет 7 пвыполнять вредоносные функции под видом легитимного процесса и продолжать сбор данных без привлечения внимания систем безопасности. Исследователи добавили индикаторы компрометации (IoC), которые можно найти здесь.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

Читайте по теме:

Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Жителя Краснодара арестовывают за долги полного тезки из Москвы
Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Куда делась власть Советов?
Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Александр Липатов задержан: после трагедии в его квартире нашли антидепрессанты и бредовые записки
Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Алиев: Азербайджан помогает Украине, ЕС и России вести переговоры о продлении транзита российского газа через Украину
Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Системный сбой на курорте «Газпром Поляна»: Взлом сервера оставил гостей без услуг
Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Следствие по делу Шона Комбса продолжается: новые факты и знаменитости под угрозой
Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Израильские ВВС нанесли удар по зданию в центральном районе Дамаска: есть погибшие и раненые
Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Появилось шесть новых исков о сексуальных преступлениях против P. Diddy
Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Угроза безопасности: Хакеры пытались получить доступ к телефонам Трампа и Харрис
Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Снижение цен на нефть ставит ФНБ под угрозу: ликвидных активов хватит лишь на несколько месяцев

Распечатать