Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Преступники распространяют трояны RevengeRAT и njRAT через ODT-файлы. (http://txgate.io:443/showthread.php?t=17697)

Artifact 03-04-2025 11:38 AM

http://image.prntscr.com/image/_9wHR...76YwQccIXQ.png
Атаки нацелены на англоязычных и арабоговорящих пользователей.
Исследователи безопасности из команды Cisco Talos обнаружили несколько вредоносных кампаний, использующих файлы OpenDocument Text (ODT) для распространения вредоносных программ, которые обычно блокируются антивирусными решениями. Атаки нацелены на англоязычных и арабоговорящих пользователей.
ODT-файлы представляют собой архивы, в которых могут храниться текст, изображения и XML-файлы, используемые Microsoft Office и аналогичным программным обеспечением (LibreOffice, Apache OpenOffice). Некоторые антивирусные программы воспринимают ODT-файлы как стандартные архивы и не открывают документ, как в случае с файлами Microsoft Office. Это позволяет преступникам загружать вредоносное ПО на целевую систему.
В одной из кампаний, нацеленных на пользователей Microsoft Office, киберпреступники встраивали OLE-объекты (технология связывания и внедрения объектов) в документы ODT. OLE-объекты запускали HTA-файлы, загружающие трояны для удаленного доступа (RAT) RevengeRAT и njRAT с популярного арабского хостинга файлов (top4top[.]net).
http://image.prntscr.com/image/Fw04Q...eWb2eO_pWQ.png
Во второй кампании преступники использовали ODT-файлы для загрузки программы для хищения данных AZORult. Процесс заражения задействует OLE-объект, который загружает исполняемый файл, замаскированный под Spotify (Spotify.exe). Он представляет собой двоичный файл, запакованный с помощью таких утилит, как Goliath, babelfor.NET и 9rays. После распаковки файла система оказывается зараженной трояном AZORult.
В рамках третьей кампании злоумышленники атаковали на пользователей OpenOffice и LibreOffice. Киберпреступники использовали «эквивалент макросов в документах Microsoft Office, реализованный в программном обеспечении с открытым исходным кодом StarOffice Basic». StarOffice — устаревшее ПО, последняя версия которого была выпущена в 2008 году. Однако на основе ее кода была создана программа OpenOffice.org, наследником которой является Apache OpenOffice.
По словам исследователей, вредоносный макрос используется для извлечения и запуска «plink443.exe», который устанавливает связь по SSH. В настоящее время неясно, зачем злоумышленники устанавливают SSH-канал, поскольку в атаке используется IP-адрес локальной сети.
http://image.prntscr.com/image/fpUEs...eGKYXmWwiQ.png
Также исследователям не удалось выяснить, какой именно вредонос загружается на систему.


All times are GMT. The time now is 08:02 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.