Security Week 22: вредоносный видеостриминг

Security Week 22: вредоносный видеостриминг
Свежее исследование вредоносной кампании BazaLoader демонстрирует пример сложной атаки на обычных пользователей. Работа, подготовленная специалистами ProofPoint, описывает первый этап заражения компьютера, логичным продолжением которого становится блокировка данных одним из распространенных шифровальщиков (упоминаются Ryuk и Conti).

Схема работает так: пользователю присылают письмо о том, что скоро якобы истекает срок пробной подписки на сервис видеостриминга. Желая избежать лишних трат, жертва звонит по указанному в сообщении номеру телефона. На том конце провода потенциальной жертве дают ссылку на сайт, возможно, пытаясь таким образом избежать преждевременного детектирования инфраструктуры. На странице с информацией по отмене подписки пользователь скачивает Excel-файл c макросом, активация которого и загружает вредоносное ПО.

Нельзя не отметить творческий подход киберпреступников: сайт фейкового стриминга BravoMovies очень похож на настоящий, для него даже сделаны постеры несуществующих фильмов.

d77e17c8cfc992f4e90d6a50bf286312.jpeg

Предыдущее исследование этой же кампании предлагает объяснение, почему атакующие избрали сложный метод с телефонным звонком. При открытии зараженного файла Microsoft Excel выдает все необходимые предупреждения:

ae0fa6e8fc2979fccb93ccdab34073b7.jpeg

В приведенной в исследовании расшифровке разговора с «оператором колл-центра» (в тот раз — поддельного сервиса подписки на книги) от жертвы требуют назвать по телефону код подтверждения, якобы содержащийся в этом файле. Таким образом операторы кампании увеличивают шансы на заражение компьютера, убеждая пользователя в необходимости отключить блокировку макросов в Excel и создавая атмосферу суеты. Загружаемый в результате бэкдор обеспечивает полный доступ к компьютеру и позднее используется для установки шифровальщика или иного вредоносного ПО.

Что ещё произошло

Обнаружена первая аппаратная уязвимость в процессоре Apple M1, известная как M1racles ( сайт проекта, новость и обсуждение на Хабре). Плохая новость заключается в том, что M1racles действительно ломает принцип изоляции приложений и позволяет двум программам скрытно обмениваться данными между собой. Хорошая новость: первооткрыватель уязвимости не нашел ни одного способа для нанесения какого-либо ущерба или кражи секретов. Единственный возможный сценарий — отслеживание активности пользователя в разных приложениях для рекламных кампаний. Но для этого доступно множество других методов попроще.

Специалисты «Лаборатории Касперского» исследуют семейство троянов-шифровальщиков JSWorm. В материале приведены особенности разных вариантов вредоносного кода начиная с 2019 года. Несмотря на название, первые версии JSWorm были написаны на C++, затем троян переписали с нуля на Go. В статье показана эволюция вредоноса, переключение внимания атакующих с обычных пользователей на организации. Кроме того, упомянуты уязвимости в механизмах шифрования, в некоторых случаях позволяющие дешифровать данные без выкупа.

Замечены атаки на ПО Control Web Panel (ранее известное как CentOS Web Panel), эксплуатирующие ряд серьезных уязвимостей, обнаруженных в прошлом году. Успешный взлом панели управления виртуальными серверами открывает доступ к аппаратным ресурсам жертвы — их, скорее всего, затем сдают в аренду на черном рынке.

Представители Microsoft сообщают о фишинговой кампании Nobelium, предположительно связанной с атакой на вендора SolarWinds в прошлом году.

Закрыт критический баг в ПО VMware vCenter Server. Уязвимость может привести к выполнению произвольного кода и представляет большую опасность в случае, если управляющее облачной инфраструктурой ПО доступно из cети.
bazaloader
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!