Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page MEME#4CHAN: Необычная фишинговая кампания, использующая мемы в качестве переменных вредоносного кода

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 04-04-2025, 11:57 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Успешная цепочка атак приводит к заражению целевых компьютеров универсальным вредоносом XWorm.
Эксперты по кибербезопасности обнаружили новую фишинговую кампанию, в ходе которой злоумышленники используют уникальную цепочку атак для доставки вредоносной программы XWorm на целевые системы.
Компания Securonix, которая отслеживает эту зловредную активность под названием «MEME#4CHAN», сообщила, что большинство атак были направлены на производственные предприятия и медицинские клиники в Германии.
«В рамках данной операции злоумышленники использовали необычный код на языке PowerShell, наполненный мемами, и сильно обфусцированный вредонос XWorm для заражения своих жертв», — заявили исследователи в своём отчёте .
По сообщениям специалистов, атаки MEME#4CHAN начинаются с фишинговых писем с поддельными документы Microsoft Word, которые эксплуатируют уязвимость Windows CVE-2022-30190 для загрузки обфусцированного скрипта PowerShell.

В ходе анализа данного PowerShell-скрипта исследователи столкнулись с множеством переменных, имеющих довольно интересные и необычные название, с явной отсылкой на зарубежную мем-культуру. Так, некоторые переменные имели следующие названия:
  • $CHOTAbheem (название индийского мультипликационного сериала)

  • $Pentagone

  • $NuclearDefusion

  • $MEME2026

  • $Shakalakaboomboom

  • $Colaburbumbum

  • $Sexybunbun

Злоумышленники использовали вышеупомянутый PowerShell-скрипт для обхода AMSI, отключения Microsoft Defender, настройки постоянства в целевой системе и, наконец, запуска .NET-бинарника, содержащего XWorm.
XWorm — это коммерческое вредоносное ПО, которое продается на подпольных форумах и имеет широкий спектр функций, позволяющих похищать конфиденциальную информацию с зараженных хостов. А возможность скачивать дополнительные полезные нагрузки значительно расширяет функционал программы, делая её своеобразным универсальным швейцарским ножом в киберпреступном мире.
«По предварительной проверке кажется, что лицо или группа, ответственная за атаку, могут иметь Ближневосточное/Индийское происхождение, хотя окончательная принадлежность ещё не подтверждена», — сообщили исследователи.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 05:20 AM.

Contact Us - Carder.life - Archive - Top