prodengi.kz
prodengi.kz
prodengi.kz

Компании и инновации

Психотест-приманка атакует госсектор и энергетику РК

50

Эксперты «Лаборатории Касперского» обнаружили вредоносную кампанию, которая связана с ранее неизвестной группой Armored Likho. Злоумышленники используют новый стилер BusySnake, способный похищать с заражённых устройств конфиденциальные данные и делать скриншоты, а также перехватывать пароли из браузеров. В основном он распространяется через фишинговые письма с разнообразными легендами: от психологических тестов до гуманитарной помощи. Кампания в первую очередь направлена на государственный и электроэнергетический секторы, и она все еще активна. На данный момент атаки были выявлены в Казахстане, России и Бразилии.

 

Один из ключевых векторов атак — фишинг. Злоумышленники точечно рассылают электронные письма с вредоносными архивами, тематика которых значительно варьируется. Например, в качестве приманки получателям предлагалось пройти психологический тест или оформить заявку на гуманитарную помощь. Названия архивов повторяют тематику писем, чтобы ввести потенциальных жертв в заблуждение и заставить их запустить вредоносное содержимое. Для отвлечения внимания на устройстве запускается приложение с психологическим опросом или документ-приманка, в зависимости от легенды. В результате многоэтапной цепочки загрузки на устройство попадает стилер, получивший название BusySnake.

 

Стилер написан на Python и предназначен для атак на Windows-системы. В ходе анализа эксперты обнаружили несколько версий этого зловреда, а также дополнительный модуль для кражи cookie-файлов. BusySnake обладает широкой функциональностью, в частности он способен красть данные из буфера обмена, передавать конфиденциальные файлы с заражённого устройства на командный сервер злоумышленников, перехватывать пароли из Firefox и браузеров на базе Chromium. Кроме того, в исходном коде стилера предусмотрено несколько способов защиты от обнаружения и затруднения статического анализа. Для доставки BusySnake на устройство используются загрузчики, которые, судя по анализу кода, были сгенерированы при помощи ИИ. 

 

Со средней степенью уверенности можно говорить, что кампания связана с ранее не описанной группой Armored Likho. Злоумышленники совмещают кибершпионаж в отношении организаций и финансово мотивированные атаки на частных пользователей.

 

«Анализ кампаний Armored Likho за последние несколько месяцев выявил тенденцию — злоумышленники используют ИИ-инструменты для создания полезных нагрузок первого этапа, на что указывают избыточные комментарии и блоки кода. Такой подход значительно расширяет число векторов атаки. Параллельно с этим группировка продолжает развивать и модифицировать свой инструментарий. Если ранее Go2Tunnel использовался как отдельный инструмент, то в текущей кампании эта функциональность интегрирована непосредственно в стилер в виде встроенной функции, получающей параметры от командного сервера злоумышленников. Стоит также отметить, что архитектура обнаруженного стилера имеет определённые сходства с другим инструментом группировки — AquilaRAT. Несмотря на развитие вредоносного инструментария и попытки скрыть используемые TTP, мы продолжаем внимательно следить за деятельностью Armored Likho и выявлять новые кампании злоумышленников», — отмечают исследователи.

 

Фото из открытых источников

0

Следите за нами и читайте финансовые новости первыми в Google

Добавить в список основных источников в Google
plusBell

Если вы обнаружили ошибку или опечатку, выделите фрагмент текста с ошибкой и нажмите CTRL+Enter

Добавить комментарий