Рекламные объявления на Facebook* снова замешаны в распространении вредоносного ПО.
https://www.securitylab.ru/upload/ib...rgfhfstpkx.jpg
В новом отчёте компании Trustwave была обнаружена продвинутая кампания по распространению мощного вредоносного программного обеспечения, целью которого является кража данных с заражённых компьютеров.
Схема атаки начинается с рекламного объявления на Facebook *, ведущего к PDF-файлу на OneDrive, который якобы содержит детали вакансии. Однако при попытке открыть файл пользователя перенаправляют на загрузку файла с названием «pdf2.cpl», размещённого в сети Discord.
Этот файл представлен как документ DocuSign, но на самом деле является PowerShell-полезной нагрузкой, использующей файл управления Windows для выполнения.
Trustwave выделила четыре основных метода загрузки вредоносного ПО. Итак, заражение происходит через:<ul><li>CPL-файлы благодаря удалённым сценариям PowerShell;</li>
</ul><ul><li>HTML-файлы методом HTML Smuggling для внедрения зашифрованных ZIP-файлов с зловредным содержимым;</li>
</ul><ul><li>LNK-файлы (ярлыки Windows), маскирующиеся под текстовые файлы;</li>
</ul><ul><li>SVG-файлы с встроенными RAR-архивами.</li>
</ul>Финальная полезная нагрузка состоит из трёх файлов: легитимного исполняемого файла Windows (WerFaultSecure.exe), DLL для загрузки библиотек посредством DLL Sideloading (Wer.dll) и документа с вредоносным кодом (Secure.pdf).
После выполнения вредоносное ПО устанавливает постоянство в заражённой системе, добавляя задачу в планировщик заданий под названием «Licensing2», которая запускается каждые 90 минут.
Ov3r_Stealer направлен на кражу данных из широкого спектра приложений, включая криптовалютные кошельки, веб-браузеры, расширения браузеров, Discord, Filezilla и многие другие, а также исследует конфигурацию системных служб в реестре Windows, вероятно, для идентификации потенциальных целей.
Краденая информация отправляется боту в Telegram каждые 90 минут, включая геолокационные данные жертвы и сводку по украденным данным. Trustwave обнаружила связь между каналом эксфильтрации в Telegram и определёнными именами пользователей, участвующими в форумах, связанных со взломом программного обеспечения.
Кроме того, исследователи отмечают сходство кода Ov3r_Stealer с вредоносным ПО на C# под названием Phemedrone, что может указывать на использование последнего в качестве основы для нового вируса.
В демонстрационных видеороликах, возможно, показывающих работу вредоносного ПО, злоумышленники использовали вьетнамский и русский языки, а также флаг Франции, что не даёт однозначно определить национальность злоумышленников. Возможно, они намеренно пытались затруднить свою атрибуцию.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.trustwave.com/hubfs/Web/Library/Documents_pdf/FaceBook_Ad_Spreads_Novel_Malware.pdf</pre>