Рекламные объявления на Facebook* снова замешаны в распространении вредоносного ПО.
В новом отчёте компании Trustwave была обнаружена продвинутая кампания по распространению мощного вредоносного программного обеспечения, целью которого является кража данных с заражённых компьютеров.
Схема атаки начинается с рекламного объявления на Facebook *, ведущего к PDF-файлу на OneDrive, который якобы содержит детали вакансии. Однако при попытке открыть файл пользователя перенаправляют на загрузку файла с названием «pdf2.cpl», размещённого в сети Discord.
Этот файл представлен как документ DocuSign, но на самом деле является PowerShell-полезной нагрузкой, использующей файл управления Windows для выполнения.
Trustwave выделила четыре основных метода загрузки вредоносного ПО. Итак, заражение происходит через:
- CPL-файлы благодаря удалённым сценариям PowerShell;
- HTML-файлы методом HTML Smuggling для внедрения зашифрованных ZIP-файлов с зловредным содержимым;
- LNK-файлы (ярлыки Windows), маскирующиеся под текстовые файлы;
- SVG-файлы с встроенными RAR-архивами.
Финальная полезная нагрузка состоит из трёх файлов: легитимного исполняемого файла Windows (WerFaultSecure.exe), DLL для загрузки библиотек посредством DLL Sideloading (Wer.dll) и документа с вредоносным кодом (Secure.pdf).
После выполнения вредоносное ПО устанавливает постоянство в заражённой системе, добавляя задачу в планировщик заданий под названием «Licensing2», которая запускается каждые 90 минут.
Ov3r_Stealer направлен на кражу данных из широкого спектра приложений, включая криптовалютные кошельки, веб-браузеры, расширения браузеров, Discord, Filezilla и многие другие, а также исследует конфигурацию системных служб в реестре Windows, вероятно, для идентификации потенциальных целей.
Краденая информация отправляется боту в Telegram каждые 90 минут, включая геолокационные данные жертвы и сводку по украденным данным. Trustwave обнаружила связь между каналом эксфильтрации в Telegram и определёнными именами пользователей, участвующими в форумах, связанных со взломом программного обеспечения.
Кроме того, исследователи отмечают сходство кода Ov3r_Stealer с вредоносным ПО на C# под названием Phemedrone, что может указывать на использование последнего в качестве основы для нового вируса.
В демонстрационных видеороликах, возможно, показывающих работу вредоносного ПО, злоумышленники использовали вьетнамский и русский языки, а также флаг Франции, что не даёт однозначно определить национальность злоумышленников. Возможно, они намеренно пытались затруднить свою атрибуцию.
Code:
https://www.trustwave.com/hubfs/Web/Library/Documents_pdf/FaceBook_Ad_Spreads_Novel_Malware.pdf
01-04-2025, 05:30 AM
Linear Mode
