Киберпреступники нашли новый хитрый способ обойти защиту безопасности

Хакерская группа TrickBot, создавшая вредоносное ПО BazarBackdoor, больше не пытается заражать новые конечные точки напрямую через электронную почту. Вместо этого теперь используются контактные формы на веб-сайте.

Киберпреступники нашли новый хитрый способ обойти защиту безопасности. Фото: Pixabay

Как сообщается в отчете экспертов по кибербезопасности Abnormal Security, новая кампания, вероятно, началась в декабре 2021 года и нацелена на корпоративные конечные точки. Используются зловред Cobalt Strike или программы-вымогатели.

Метод прост: вместо того, чтобы напрямую отправлять электронное письмо, субъект угрозы будет использовать корпоративные контактные формы, чтобы начать общение, чаще всего изображая из себя бизнес, запрашивающий расценки на поставку продукта.

Как только цель ответит на сообщение, злоумышленник отправит вредоносный файл ISO, утверждая, что он имеет отношение к обмену данными. Однако файл ISO не будет прикреплен напрямую, а вместо этого будет сначала загружен на сторонние службы обмена файлами, такие как TransferNow или WeTransfer.

Архив ISO содержит два файла, предполагают исследователи: один файл .lnk и один файл .log. Группируя эти файлы вместе и заставляя жертву извлекать их вручную после загрузки, злоумышленники надеются обойти любые службы защиты электронной почты, которые могла настроить цель.

Как только цель запустит файл .lnk, она откроет окно терминала и загрузит файл .log — DLL BazarBackdoor.

BazarBackdoor создан для предоставления своим операторам удаленного доступа к внутреннему устройству и поэтому обычно используется в качестве трамплина на пути к развертыванию более разрушительных вредоносных программ или программ-вымогателей.

Учитывая, что BazarBackdoor является первым этапом многоэтапной атаки, исследователи ожидают, что вредоносное ПО будет развертывать полезную нагрузку второго этапа. Однако многие из IP-адресов C2 отключены, что не позволяет исследователям обнаружить финал кампании.

Startpack подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

безопасность