Зловмисник використовує підроблені дописи в LinkedIn і прямі повідомлення про посаду спеціаліста з реклами Facebook у виробника апаратного забезпечення Corsair, щоб спонукати людей завантажувати зловмисне програмне забезпечення для крадіжки інформації, як-от DarkGate і RedLine. Про це повідомляє Bleeping Computer.
Компанія з кібербезпеки WithSecure виявила активність і відстежила діяльність групи. У звіті було вказано, що вона пов’язана з в’єтнамськими кіберзлочинними групами, відповідальними за кампанії Ducktail, які вперше помітили торік.
Ці кампанії спрямовані на викрадення цінних бізнес-акаунтів Facebook, які можна використовувати для зловмисної реклами або продати іншим кіберзлочинцям.
Останні приклади використання DarkGate включають фішингові атаки через Microsoft Teams, які переміщують корисне навантаження та використовують скомпрометовані облікові записи Skype для надсилання сценаріїв VBS для запуску ланцюга зараження, що веде до зловмисного програмного забезпечення.
В’єтнамські зловмисники націлилися переважно на користувачів у США, Великобританії та Індії, які обіймають керівні посади в соціальних мережах і, ймовірно, мають доступ до бізнес-акаунтів Facebook. Приманка доставляється через LinkedIn і містить пропозицію про роботу в Corsair.
Цілі обманом змушують завантажити шкідливі файли з URL-адреси (g2[.]by/corsair-JD), яка переспрямовує на Google Drive або Dropbox, щоб скинути ZIP-файл (Salary and new products.8.4.zip) із PDF-файлом або документ DOCX і файл TXT із такими назвами:
- Посадова інструкція Corsair.docx.
- Зарплата і нові продукти.txt.
- PDF Зарплата та продукти.pdf.
Дослідники WithSecure проаналізували метадані для вказаних вище файлів і знайшли джерела розповсюдження RedLine stealer.
Завантажений архів містить сценарій VBS, можливо, вбудований у файл DOCX, який копіює та перейменовує «curl.exe» на нове місце та використовує його для завантаження «autoit3.exe» і скомпільованого сценарію Autoit3.
Виконуваний файл запускає сценарій, а останній – заплутує себе і створює DarkGate, використовуючи рядки, присутні в сценарії.
Через 30 секунд після інсталяції зловмисне програмне забезпечення намагається видалити продукти безпеки зі скомпрометованої системи, вказуючи на існування автоматизованого процесу.
Наприкінці минулого року LinkedIn представив функції для боротьби зі зловживаннями на платформі, які можуть допомогти користувачам визначити, що обліковий запис є підозрілим або ж фальшивим. Проте користувачі повинні перевірити отриману інформацію перед тим, як спілкуватися з новим обліковим записом.
Компанія WithSecure опублікувала список індикаторів компрометації (IoC), які можуть допомогти організаціям захиститися від дій цього загрозливого суб’єкта. Деталі включають IP-адреси, використовувані домени, URL-адреси, метадані файлів і назви архівів.
Читайте також на нашому сайті: Українські хакери Ukrainian Cyber Alliance зламали сервери російських кіберзлочинців.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!
