Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Agent Tesla, Formbook и Remcos RAT атакуют европейский бизнес (http://txgate.io:443/showthread.php?t=8192)

Artifact 03-14-2025 03:12 PM

ESET раскрывает детали новой волны кибератак сразу на 3 страны.
В мае ESET https://www.welivesecurity.com/en/es...es-modiloader/ масштабные фишинговые кампании, направленные на малый и средний бизнес в Польше, Италии и Румынии. В результате атак на устройства жертв были установлены несколько вредоносных программ – Agent Tesla, Formbook и Remcos RAT.
Злоумышленники использовали уже скомпрометированные почтовые аккаунты и серверы компаний для распространения вредоносных писем, а также для размещения и сбора украденных данных. Кампания включала 9 волн атак, в которых использовался загрузчик вредоносного ПО DBatLoader (ModiLoader и NatsoLoader) для доставки вредоносных программ.
https://www.securitylab.ru/upload/me...4vfkkco558.png
Цепочка заражения
Начальная точка атак заключалась в фишинговых письмах с вложениями в формате RAR или ISO, содержащими вредоносные файлы. При открытии вложений запускался многоступенчатый процесс загрузки и активации троянских программ.
В случаях с вложением ISO-файлов, содержимым был исполняемый файл ModiLoader (названный так же или совпадающим с названием самого ISO-файла), который запускался при открытии исполняемого файла.
В случаях с вложением RAR-файлов, содержимое архивов представляло собой сильно запутанный пакетный скрипт (с тем же именем, что и архив) с расширением «.cmd». Файл также содержал исполняемый файл ModiLoader в кодировке Base64, замаскированный под список отзыва PEM-сертификатов. Batch-скрипт отвечает за декодирование и запуск встроенного ModiLoader.
https://www.securitylab.ru/upload/me...nns785gja6.png
CMD-файл содержит обфусцированный пакетный скрипт, который декодирует двоичный файл ModiLoader в кодировке Base64
DBatLoader, разработанный на базе Delphi, предназначен для загрузки и запуска вредоносного ПО следующего этапа с Microsoft OneDrive или с скомпрометированных серверов компаний. Независимо от типа установленного вредоносного ПО, Agent Tesla, Formbook и Remcos RAT обладают возможностями кражи конфиденциальной информации, в том числи из браузеров и почтовых клиентов, что позволяет злоумышленникам подготовить почву для последующих атак.


All times are GMT. The time now is 11:14 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.