0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Хакеры стали экономнее. Они больше не тратят деньги на скупку ворованных учётных данных

leer en español

LeakNet ClickFix ReliaQuest Deno ransomware Windows фишинг
Хакеры стали экономнее. Они больше не тратят деньги на скупку ворованных учётных данных
LeakNet ClickFix ReliaQuest Deno ransomware Windows фишинг

Теневой рынок столкнулся с неожиданной переменой правил игры.

image

Группировка LeakNet, связанная с программами-вымогателями, изменила тактику проникновения в системы и начала использовать социальную инженерию через взломанные сайты. Новая схема сочетает обман пользователей и запуск вредоносного кода прямо в памяти, что усложняет обнаружение атак и снижает зависимость от сторонних поставщиков доступа.

Аналитики ReliaQuest обратили внимание на применение приёма ClickFix. Речь идёт о поддельных проверках, которые имитируют CAPTCHA и предлагают устранить несуществующую ошибку. Пользователю показывают инструкцию с командой msiexec.exe, которую нужно вставить в окно «Выполнить» в Windows. После запуска команда инициирует цепочку заражения. В отличие от прежних методов, когда злоумышленники покупали украденные учётные данные, новый подход позволяет быстрее масштабировать атаки и снижает расходы на доступ к жертвам.

Второй ключевой элемент — загрузчик на базе среды Deno. Вредоносный JavaScript передаётся в кодировке Base64 и выполняется прямо в оперативной памяти. Такой подход почти не оставляет следов на диске и затрудняет работу средств защиты. Загрузчик собирает сведения о системе, связывается с внешним сервером и затем регулярно подгружает дополнительные компоненты.

LeakNet впервые зафиксировали в ноябре 2024 года. Группировка позиционировала себя как «цифрового наблюдателя», однако фактическая деятельность включала атаки на промышленные организации, о чём сообщала компания Dragos. Новая схема проникновения показывает сдвиг в стратегии и попытку ускорить операции без посредников.

После получения доступа действия остаются предсказуемыми. Сначала запускают вредоносную библиотеку через боковую загрузку DLL, затем перемещаются по сети с помощью PsExec, собирают данные и шифруют инфраструктуру. Для оценки доступных учётных записей злоумышленники используют встроенную команду klist, которая показывает активные аутентификационные данные. Похищенную информацию выгружают в облачные хранилища S3, маскируя трафик под обычную активность.

ReliaQuest также зафиксировала отдельную попытку проникновения через Microsoft Teams, где пользователя убедили запустить вредоносную цепочку с тем же типом загрузчика. Связь с LeakNet не подтверждена, но подход указывает на распространение техники среди разных групп.

На фоне этих событий Google сообщает о росте активности вымогателей. В трети инцидентов начальный доступ обеспечивала эксплуатация уязвимостей, чаще всего в VPN и межсетевых экранах. В 77 процентах атак фиксировалось похищение данных. При этом общий доход злоумышленников снижается, и многие группы переходят от крупных целей к массовым атакам на небольшие организации.