- Исследователи говорят, что преступники прячут вредоносное ПО в изображениях, размещенных на авторитетных сайтах
- Было замечено, что как минимум две разные группы использовали два типа инфокрадов.
- В кампаниях используется старый недостаток Excel, утверждает HP Wolf Security
Эксперты предупреждают, что хакеры прячут вредоносное ПО в изображениях веб-сайтов, чтобы остаться незамеченными и поставить под угрозу как можно больше компьютеров.
В новом отчете Threat Insights от HP Wolf Security, основанном на данных миллионов конечных точек, утверждается, что в настоящее время активны крупные кампании по распространению VIP Keylogger и 0bj3ctivityStealer. Поскольку в обоих случаях используются одни и те же методы и загрузчики, исследователи подозревают, что две группы используют одни и те же наборы вредоносных программ для доставки разных полезных данных.
«В обеих кампаниях злоумышленники скрывали один и тот же вредоносный код в изображениях на файловых хостингах, таких как archive.org, и использовали один и тот же загрузчик для установки окончательной полезной нагрузки», — пояснили исследователи. «Такие методы помогают злоумышленникам избежать обнаружения, поскольку файлы изображений кажутся безвредными при загрузке с известных веб-сайтов и обходят сетевую безопасность, например веб-прокси, которые полагаются на репутацию».
Добавьте GenAI в свой микс
Атака начинается с фишингового электронного письма, выдающего себя за счет или заказ. Вложение обычно представляет собой документ Excel, целью которого является использование CVE-2017-11882, старой ошибки в редакторе формул, для загрузки файла VBScript.
Алекс Холланд, старший исследователь угроз в лаборатории безопасности HP, сказал, что комплекты для фишинга в сочетании с инструментами генеративного искусственного интеллекта (GenAI) значительно снизили барьер для входа и усугубили постоянный риск вредоносного ПО: «Это позволяет группам сосредоточиться на том, чтобы обмануть их. «Нацельтесь и выберите лучшую полезную нагрузку для работы — например, нацеливаясь на игроков с вредоносными репозиториями читов».
Обсуждая GenAI, исследователи заявили, что преступники используют его для создания вредоносных HTML-документов. Они также выявили кампанию трояна удаленного доступа XWorm (RAT), которая была инициирована посредством контрабанды HTML и содержала вредоносный код, который загружает и запускает вредоносное ПО.
Они добавили, что загрузчик явно был написан искусственным интеллектом, поскольку он содержал построчное описание и дизайн HTML-страницы.
И VIP Keylogger, и 0bj3ctivityStealer — это вредоносные программы-похитители информации, которые записывают и фильтруют конфиденциальную информацию, такую как пароли, данные криптовалютного кошелька, конфиденциальные файлы и многое другое.
Вам также может понравиться это
