Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Вредоносное ПО скрывается в снимках далеких галактик (http://txgate.io:443/showthread.php?t=11614)

Artifact 02-04-2025 05:08 PM

В ходе новой вредоносной кампании злоумышленники вшивают вредоносное ПО в фотографии с телескопа Джеймс Уэбб.
https://www.securitylab.ru/upload/ib...9rgx4ru1e4.jpg
Аналитики Securonix обнаружили новую вредоносную кампанию под названием "GO#WEBBFUSCATOR", которая которая использует фишинговые письма, вредоносные документы и снимки с телескопа Джеймс Уэбб для распространения вредоносного ПО. Вредонос написан на языке программирования Golang и не обнаруживается антивирусными системами на VirusTotal.
Заражение начинается с фишингового письма с вложенным вредоносным документом "Geos-Rates.docx", который загружает файл, содержащий обфусцированный VBS-макрос, который автоматически запускается, если макросы включены в пакете Office. Затем код загружает JPG-изображение ("OxB36F8GEEC634.jpg") с удаленного ресурса ("xmlschemeformat[.]com"), декодирует его в исполняемый файл ("msdllupdate.exe") с помощью certutil.exe и запускает его.
https://lh4.googleusercontent.com/ft...ZzIesRXm-7OR9Q
Обфусцированный VBS-макрос (слева) и декодированная команда для загрузки JPG-файла (справа)
В программе просмотра изображений JPG-файл показывает скопление галактик SMACS 0723, опубликованное NASA в июле 2022 года. Однако, если открыть изображение в текстовом редакторе, то можно обнаружить дополнительное содержимое, замаскированное под сертификат, который представляет собой закодированную в Base64 полезную нагрузку, которая превращается во вредоносный 64-битный исполняемый файл.
https://lh4.googleusercontent.com/ea...LIpLs7QENAFJ6I
Один и тот же файл в программе просмотра изображений (слева) и в текстовом редакторе (справа)
Строки полезной нагрузки дополнительно обфусцированы с помощью ROT25, а двоичный файл использует XOR-шифрование, чтобы скрыть вредоноса от аналитиков. Кроме того, вредоносное ПО изменяет регистр, чтобы избежать обнаружения службами безопасности на основе сигнатур.
Специалисты проанализировали вредоноса и сделали вывод, что он закрепляется в системе, копируя себя в '%%localappdata%%\microsoft\vault\' и добавляя новый ключ реестра.
Запустившись, вредоносная программа устанавливает DNS-соединение с C&C-сервером злоумышленников и отправляет зашифрованные запросы. На C&C-сервере сообщения считываются и расшифровываются. Кроме того, сервер злоумышленников может устанавливать временные интервалы между запросами на соединение, изменяя таймаут с помощью nslookup, а также способен посылать команды, которые выполняются в командной строке Windows.
Исследователи отмечают, что домены, используемые в ходе кампании, были зарегистрированы недавно. Securonix уже предоставила набор индикаторов компрометации, включающий как сетевые, так и хостовые индикаторы.


All times are GMT. The time now is 05:54 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.