Исследователи кибербезопасности из KrakenLabs компании Outpost24 наблюдали за новой и довольно уникальной кампанией вредоносного ПО, в которой, судя по всему, количество отдается приоритету качеству.
Когда хакеры взламывают устройство, они обычно устанавливают одну вредоносную программу и изо всех сил стараются оставаться незамеченными и оставаться постоянными, используя компьютер для своих целей.
Но эта новая кампания под названием «Разворачивание болиголова» делает прямо противоположное и выделяется в мире киберпреступности. Исследователи говорят, что как только жертва запускает исполняемый файл вредоносного ПО (в данном случае под названием «EXTRACT.EXE»), жертва получает несколько различных вредоносных программ, файлов-похитителей информации и ботнетов.
Кластерная бомба вредоносного ПО
Вероятность того, что вредоносное ПО будет обнаружено решениями кибербезопасности, высока, но исследователи полагают, что злоумышленники надеются, что хотя бы часть полезных данных выживет после очистки. На устройствах установлены следующие вещи: Redline (популярный инструмент для кражи информации), RisePro (будущий инструмент для кражи информации), Mystic Stealer (ворующая информацию вредоносная программа как услуга), Amadey (загрузчик), SmokeLoader (еще один загрузчик), Protection Disabler (утилита, которую Защитник Windows и другие функции безопасности отключены), Enigma Packer (инструмент запутывания), Healer (решение для обеспечения безопасности) и Performance Checker (утилита, которая проверяет и регистрирует производительность выполнения вредоносных программ).
Эта «кассетная бомба вредоносного ПО» была впервые обнаружена в феврале 2024 года, сообщили исследователи, заявив, что они видели более 50 000 файлов кассетных бомб, все с уникальными характеристиками, которые связывают их с «Разворачивающимся болиголовом».
KrakenLabs не может сказать с абсолютной уверенностью, кто являются участниками угрозы, стоящей за Unfurling Hemlock, но они вполне уверены, что они имеют восточноевропейское происхождение. Некоторыми доказательствами, указывающими в этом направлении, являются использование русского языка в некоторых образцах и использование автономной системы 203727, которая связана с услугой хостинга, которую обычно используют группировки киберпреступников в регионе.
К счастью, вредоносное ПО, распространяемое в рамках этой кампании, известно и обнаруживается большинством надежных антивирусных программ.
Больше от TechRadar Pro
