Злоумышленники, известные как CoralRaider, используют сеть доставки контента (CDN) Bynny для распространения информационных воров среди жертв по всему миру.
Исследователи Cisco Talos обнаружили, кто заявил, что CoralRaider злоупотреблял CDN, чтобы скрыться от решений безопасности, когда они поставляли LummaC2, Rhadamanthys и Cryptobot.
CoralRaider — это финансово мотивированный злоумышленник, нацеленный на конечные точки в США, Великобритании, Германии и Японии. Компания базируется во Вьетнаме и обычно ориентирована на устройства в Азии и Юго-Восточной Азии. Однако в последнее время группа, похоже, расширила свою деятельность, включив в нее жертв в США, Нигерии, Пакистане, Эквадоре, Германии, Египте, Великобритании, Польше, Филиппинах, Норвегии, Японии, Сирии и Турции. По его словам, деятельность группы была впервые раскрыта в 2003 году.
Судя по всему, группа (скорее всего) рассылала фишинговые письма с прикрепленным архивом. Этот архив будет содержать вредоносную ссылку ярлыка Windows (.LNK), которая, в свою очередь, содержит команду PowerShell, которая загружает и запускает «сильно запутанное» HTML-приложение. Это приложение было обнаружено на субдомене Bynny, находящемся под контролем злоумышленников.
Украсть учетные данные для входа
Приложение содержит код JavaScript для сценария дешифрования PowerShell, который отключает определенные функции безопасности и в конечном итоге запускает один из трех упомянутых выше информационных воров.
Cisco Talos далее объяснила угрозу, заявив, что распространенные информационные кражи появились сравнительно недавно. У LummaC2 и Rhadamanthys есть функции, которые, похоже, были добавлены только в прошлом году, а Cryptobot появился в январе этого года.
Соответственно ПипКомпьютерКриптобот не так популярен, как LummaC2 или Rhadamanthys, но все равно опасен, поскольку заражает более полумиллиона устройств в год.
Большинство современных инфокрадов нацелены на одну и ту же информацию: учетные данные для входа в различные сервисы, многофакторную аутентификацию (MFA) и одноразовые пароли, данные криптовалютного кошелька, банковскую информацию и многое другое.
Больше от TechRadar Pro
