Фишинговая кампания доставляет полезные данные Quasar RAT с помощью поддельных резюме

В новой фишинг-кампании используются поддельные резюме, предназначенные для доставки вредоносных полезных данных Quasar Remote Administration Tool (RAT) на компьютеры Windows, не подозревающие о целях.

Фишинг используется мошенниками для того, чтобы обмануть потенциальных жертв, используя методы социальной инженерии, для передачи конфиденциальной информации через мошеннические веб-сайты, которыми они управляют, или для доставки вредоносного контента по электронной почте, которая кажется отправленной кем-то, кого они знают, или законной организацией.

В то время как использование поддельных резюме и различных других типов документов является очень распространенной уловкой, которой злоупотребляют злоумышленники, проводящие кампании по рассылке спама, тот, нацеленный на пользователей Windows с помощью инструмента удаленного администрирования Quasar (RAT), обнаруженного исследователями Cofense, также добавляет несколько методов анти-анализа для маскировки векторы инфекции.

Quasar RAT — это хорошо известный RAT с открытым исходным кодом, разработанный с использованием языка программирования C #, который, как известно, использовался широким кругом хакерских групп, включая APT33, APT10, Dropping Elephant, Stone Panda и The Gorgon Group. [1, 2, 3, 4, 5]

Возможности Quasar включают, но не ограничиваются, открытием подключений к удаленному рабочему столу, регистрацией нажатий клавиш жертв и кражей их паролей, захватом снимков экрана и записью веб-камер, загрузкой и удалением файлов и управлением процессами на зараженных компьютерах.

Процесс доставки и заражения

Похожие записи

Как продлить время работы от батареи на смартфоне ... Google добавил множество новых функций и возможностей в своей последней версии мобильной операционной системы Android 9 Pie. В слое нескольких других ...
OnePlus 6T, OnePlus 6 получают управление яркостью... Опциональная функция DC Dimming может быть включена, перейдя в настройки OnePlus Laboratory. Пользователи OnePlus 6T и OnePlus 6 могут заменить сущес...
Вредоносная кампания в точках продаж нацелена на г... Атаки кражи данных с кредитных карт используют технику, редко используемую во вредоносных программах POS, чтобы избежать обнаружения, и, как полагают,...

Обнаруженная Cofense кампания по распространению вредоносного ПО распространяет полезную нагрузку Quasar RAT с помощью защищенного паролем поддельного резюме документа Microsoft Word, а также «применяет меры противодействия обнаружению для достижения конечного пользователя».

После того, как потенциальные жертвы введут пароль «123», также включенный в фишинговое сообщение, в поддельном резюме будет предложено включить макросы, чтобы он мог запустить процесс заражения, как это делают большинство подобных атак.

Однако в этом случае макросы также идут с небольшим поворотом в виде кода мусора в кодировке base64, предназначенного для сбоя инструментов анализа.

«Если эти строки не декодируются или процесс, декодирующий их, имеет достаточно выделенных ресурсов, получающемуся контенту все еще не хватает важного URL полезной нагрузки», — считает Cofense. «Вместо этого частичные строки и текст-наполнитель придают видимость законности».

Операторы кампании фактически скрыли URL-адреса полезной нагрузки и другую подобную информацию, используемую для распространения инфекции в метаданных других встроенных объектов и изображений.

«Если макрос успешно запущен, он будет отображать серию изображений, утверждающих, что они загружают контент, при многократном добавлении строки мусора к содержимому документа», — также обнаружили исследователи Cofense. «Затем он покажет сообщение об ошибке при загрузке и запуске вредоносного исполняемого файла в фоновом режиме».

Quasar RAT сбрасывается на теперь скомпрометированную машину путем загрузки 401 МБ самораспаковывающегося исполняемого файла Microsoft с сервера, управляемого злоумышленником, а большой размер архива также затрудняет статический анализ как для аналитиков вредоносных программ, так и для специализированных платформ автоматического анализа. содержание.

Индикаторы компрометации (IoC), включая хэши MD5 вредоносных артефактов и сетевые индикаторы, такие как домены, используемые для распределения полезных нагрузок Quasar, доступны в конце отчета Cofense.

Фишинговая кампания доставляет полезные данные Quasar RAT с помощью поддельных резюме

Крысы распространяются

Похожие записи

Как Снять Видео С Помощью Веб Камеры... Сейчас мы будем разбирать вопрос о том, как сделать запись видео с веб-камеры. Сейчас это устройство имеется фактически у каждого юзера веба. Ведь веб...
Создаем Рингтон Для Iphone С Помощью Itunes... Стандартные мелодии звонка на устройствах компании Apple всегда узнаваемы и пользуются большой популярностью. Но если вы желаете поставить в качестве...
OnePlus 6T, OnePlus 6 получают управление яркостью... Опциональная функция DC Dimming может быть включена, перейдя в настройки OnePlus Laboratory. Пользователи OnePlus 6T и OnePlus 6 могут заменить сущес...

В связанных новостях лечебные субъекты использовали различные разновидности RAT для нацеливания на несколько типов целей только в этом году, а Adwind (также известный как jRAT, AlienSpy, JSocket и Sockrat) использовался в атаках на объекты из отрасли коммунальных услуг только на прошлой неделе. ,

Также в августе злоумышленники использовали смесь новых бэкдоров и вредоносных программ RAT, названных BalkanDoor и BalkanRAT, соответственно, для нацеливания на несколько объектов с Балкан, как обнаружили исследователи ESET.

Новый набор для веб-атак, получивший название Lord EK, был также замечен в начале августа как часть цепочки вредоносной рекламы, использующей рекламную сеть PopCash для отбрасывания начальной полезной нагрузки njRAT после злоупотребления уязвимостью «использование после освобождения» в Adobe Flash.

Специалисты по угрозам также использовали новое вредоносное ПО RAT, получившее название LookBack, которое исследователи Proofpoint Threat Insight Team обнаружили в ходе кампании по фишинг-атаке с конца июля, нацеленной на три объекта в США из сектора коммунальных услуг.

Еще в июне Microsoft также выпустила оповещение об активной спам-кампании, которая пыталась заразить корейские цели вредоносными программами FlawedAmmyy RAT, отбрасываемыми через вредоносные вложения XLS.

Ранее в том же месяце исследовательская группа Cofense обнаружила еще одну фишинговую кампанию, распространяющую новое вредоносное ПО под названием WSH RAT, которая активно нацелена на клиентов коммерческих банков с ее возможностями кражи информации и кейлогинга.

Читайте также: