Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   MEME#4CHAN: Необычная фишинговая кампания, использующая мемы в качестве переменных вредоносного кода (http://txgate.io:443/showthread.php?t=10071)

Artifact 04-04-2025 11:57 AM

Успешная цепочка атак приводит к заражению целевых компьютеров универсальным вредоносом XWorm.
Эксперты по кибербезопасности обнаружили новую фишинговую кампанию, в ходе которой злоумышленники используют уникальную цепочку атак для доставки вредоносной программы XWorm на целевые системы.
Компания Securonix, которая отслеживает эту зловредную активность под названием «MEME#4CHAN», сообщила, что большинство атак были направлены на производственные предприятия и медицинские клиники в Германии.
«В рамках данной операции злоумышленники использовали необычный код на языке PowerShell, наполненный мемами, и сильно обфусцированный вредонос XWorm для заражения своих жертв», — заявили исследователи в своём отчёте .
По сообщениям специалистов, атаки MEME#4CHAN начинаются с фишинговых писем с поддельными документы Microsoft Word, которые эксплуатируют уязвимость Windows CVE-2022-30190 для загрузки обфусцированного скрипта PowerShell.
https://www.securitylab.ru/upload/me...blvg2bd432.png
В ходе анализа данного PowerShell-скрипта исследователи столкнулись с множеством переменных, имеющих довольно интересные и необычные название, с явной отсылкой на зарубежную мем-культуру. Так, некоторые переменные имели следующие названия:<ul><li>$CHOTAbheem (название индийского мультипликационного сериала)</li>
</ul><ul><li>$Pentagone</li>
</ul><ul><li>$NuclearDefusion</li>
</ul><ul><li>$MEME2026</li>
</ul><ul><li>$Shakalakaboomboom</li>
</ul><ul><li>$Colaburbumbum</li>
</ul><ul><li>$Sexybunbun</li>
</ul>Злоумышленники использовали вышеупомянутый PowerShell-скрипт для обхода AMSI, отключения Microsoft Defender, настройки постоянства в целевой системе и, наконец, запуска .NET-бинарника, содержащего XWorm.
XWorm — это коммерческое вредоносное ПО, которое продается на подпольных форумах и имеет широкий спектр функций, позволяющих похищать конфиденциальную информацию с зараженных хостов. А возможность скачивать дополнительные полезные нагрузки значительно расширяет функционал программы, делая её своеобразным универсальным швейцарским ножом в киберпреступном мире.
«По предварительной проверке кажется, что лицо или группа, ответственная за атаку, могут иметь Ближневосточное/Индийское происхождение, хотя окончательная принадлежность ещё не подтверждена», — сообщили исследователи.


All times are GMT. The time now is 05:19 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.