Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Военные протестировали на себе новый вирус SPICA на основе Rust

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 04-12-2025, 03:53 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Собственное вредоносное ПО помогло хакерам добиться целей.
Хакерская группировка COLDRIVER усовершенствовала свои методы и начала распространять своё первое собственное вредоносное ПО, написанное на языке программирования Rust.
Об этом сообщила группа анализа угроз Google TAG, которая поделилась подробностями о последней активности хакеров. По данным специалистов, атакующие используют PDF-файлы в качестве приманки, чтобы запустить процесс заражения. Ловушки отправляются с поддельных аккаунтов.
Атакующие использовали PDF-документы в качестве отправной точки с ноября 2022 года, чтобы заинтересовать цели открыть файлы. COLDRIVER представляет документы как новую статью, который отправитель хочет опубликовать, и просит получателя письма написать свой отзыв. Когда пользователь открывает PDF, он видит зашифрованный текст.

PDF-документ с зашифрованным текстом
Если получатель отвечает на сообщение, заявляя, что не может прочитать документ, хакер отвечает ссылкой на якобы инструмент для расшифровки ("Proton-decrypter.exe»), размещенный на облачном хранилище Proton Drive. На самом деле, расшифровщик — это бэкдор под названием SPICA, который предоставляет COLDRIVER скрытый доступ к устройству, одновременно отображая поддельный документ, чтобы скрыть взлом. При этом в фоновом режиме бэкдор подключается к C2-серверу.
SPICA, который является первым собственным вредоносным ПО, разработанным и использованным COLDRIVER, использует JSON поверх WebSockets для управления и контроля (Command and Control, C2), обеспечивая следующие возможности:
  • выполнение произвольных команд оболочки;

  • кража куки из веб-браузеров;

  • загрузка и скачивание файлов;

  • перечисление и эксфильтрация файлов;

  • достижение постоянства с помощью запланированной задачи.

В рамках своих усилий по предотвращению кампании и дальнейшей эксплуатации команда Google TAG добавила все известные веб-сайты, домены и файлы, связанные с COLDRIVER, в черные списки Google Safe Browsing. В Google заявили, что не располагают информацией о количестве жертв SPICA, но подозревают, что бэкдор использовался только в «очень ограниченных целенаправленных атаках», добавив, что основное внимание уделялось высокопоставленным лицам в НПО, бывшим разведчикам и военным, а также представителям министерства обороны и правительств разных стран.
Code:
https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 10:55 PM.

Contact Us - Carder.life - Archive - Top