Программа-вымогатель BlackCat продвигает Cobalt Strike через поисковые объявления WinSCP
Программа-вымогатель BlackCat продвигает Cobalt Strike через поисковые объявления WinSCP. Фото: СС0
WinSCP (Windows Secure Copy) — это популярный бесплатный клиент SFTP, FTP, S3, SCP и файловый менеджер с открытым исходным кодом с возможностями передачи файлов SSH, который загружается 400 тыс. раз в неделю только на SourceForge.
BlackCat использует программу как приманку, чтобы потенциально заразить компьютеры системных администраторов, веб-администраторов и ИТ-специалистов для первоначального доступа к ценным корпоративным сетям.
Этот ранее неизвестный вектор заражения программой-вымогателем ALPHV был обнаружен аналитиками Trend Micro. Они выявили рекламные кампании, продвигающие поддельные страницы на поисковых страницах Google и Bing.
Атака начинается с того, что жертва ищет «WinSCP Download» в Bing или Google и получает продвигаемые вредоносные результаты, которые ранжируются выше безопасных сайтов загрузки WinSCP.
Жертвы кликают на эти объявления и посещают веб-сайт, на котором размещены учебные пособия по выполнению автоматической передачи файлов с помощью WinSCP.
Эти сайты не содержат ничего вредоносного и, вероятно, не обнаруживаются поисковыми роботами Google, но перенаправляют посетителей на клон официального веб-сайта WinSCP с кнопкой загрузки. Эти клоны используют доменные имена, аналогичные реальному домену winscp.net для утилиты, например winscp[.]com.
Жертва нажимает кнопку и получает файл ISO, содержащий «setup.exe» и «msi.dll», первый из которых является приманкой для запуска пользователем, а второй — дроппером вредоносного ПО, запускаемым исполняемым файлом.
Из сообщения компании:
«После запуска setup.exe он вызовет msi.dll, который позже извлечет папку Python из раздела DLL RCDATA в качестве реального установщика для WinSCP, который будет установлен на машине».
Этот процесс также устанавливает троянизированную python310.dll и создает механизм сохраняемости, создавая ключ запуска с именем «Python» и значением «C:\Users\Public\Music\python\pythonw.exe».
Исполняемый файл pythonw.exe загружает модифицированную python310.dll, содержащую маяк Cobalt Strike, который подключается к адресу сервера управления и контроля.
Имея в системе запущенный Cobalt Strike, легко выполнять дополнительные скрипты, извлекать инструменты для бокового перемещения и вообще углублять компрометацию, утверждают в компании.
В Trend Micro заявляют, что связывают вышеуказанные TTP с подтвержденным заражением программами-вымогателями ALPHV. Также обнаружен файл программы-вымогателя Clop в одном из исследованных доменов C2, поэтому субъект угрозы может быть связан с несколькими операциями программы-вымогателя.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было