Хакеры маскируются под Slack и Cisco для заражения жертв вредоносным ПО

Сеть Google Ads была использована с целью заставить жертв загрузить вредоносное ПО с первоначальным доступом под названием Nitrogen.

Хакеры маскируются под Slack и Cisco для заражения жертв вредоносным ПО. Фото: СС0

Зловред можно использовать для развертывания ALPHV (также известного как BlackCat), одного из самых популярных и разрушительных вариантов программ-вымогателей на сегодняшний день.

Новую хакерскую кампанию обнаружили исследователи из компании eSentire.

Из сообщения компании:

«За последние три недели мы видели, как хакеры пытались взломать юридическую фирму, производителя и поставщика складских услуг в нашей клиентской сети, а также атаковали другие компании.»

Хотя кампания, возможно, и свежа, в ее методе нет ничего нового. Хакеры сначала скомпрометируют учетные записи Google, которые профессионалы используют для настройки рекламных кампаний и продвижения своего бизнеса. Это можно сделать с помощью вредоносного ПО, социальной инженерии или просто купив учетные данные для входа в даркнет.

Затем они создавали фальшивую целевую страницу, выдавая себя за популярные бренды и предлагая программное обеспечение, которое часто ищут бизнес-пользователи. В данном случае это Advanced IP Scanner, Slack, WinSCP и Cisco AnyConnect.

Затем они запускали рекламу в сети Google, продвигающую эти целевые страницы, и хотя ничего не подозревающие жертвы могли подумать, что загружают легальное программное обеспечение, на самом деле они заражали свои конечные точки Nitrogen.

Nitrogen, в свою очередь, помогает злоумышленникам развернуть BlackCat, который затем используется для кражи конфиденциальных данных и шифрования всех файлов, хранящихся в целевой сети. Последний шаг — потребовать выкуп в обмен на ключ дешифрования и за неразглашение данных.

Киган Кеплингер, старший исследователь угроз в TRU, заявил, что эта кампания является продолжением кампании, наблюдавшейся в июне 2023 года, в ходе которой злоумышленники, по сути, делали то же самое. Стоит также отметить, что BlackCat представляет собой программу-вымогатель как услугу (RaaS). Организовать атаку мог любой.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме