15.05.2023 | MEME#4CHAN: Необычная фишинговая кампания, использующая мемы в качестве переменных вредоносного кода |
Эксперты по кибербезопасности обнаружили новую фишинговую кампанию, в ходе которой злоумышленники используют уникальную цепочку атак для доставки вредоносной программы XWorm на целевые системы. Компания Securonix , которая отслеживает эту зловредную активность под названием «MEME#4CHAN», сообщила, что большинство атак были направлены на производственные предприятия и медицинские клиники в Германии. «В рамках данной операции злоумышленники использовали необычный код на языке PowerShell , наполненный мемами, и сильно обфусцированный вредонос XWorm для заражения своих жертв», — заявили исследователи в своём отчёте . По сообщениям специалистов, атаки MEME#4CHAN начинаются с фишинговых писем с поддельными документы Microsoft Word, которые эксплуатируют уязвимость Windows CVE-2022-30190 для загрузки обфусцированного скрипта PowerShell.
В ходе анализа данного PowerShell-скрипта исследователи столкнулись с множеством переменных, имеющих довольно интересные и необычные название, с явной отсылкой на зарубежную мем-культуру. Так, некоторые переменные имели следующие названия:
Злоумышленники использовали вышеупомянутый PowerShell-скрипт для обхода AMSI , отключения Microsoft Defender, настройки постоянства в целевой системе и, наконец, запуска .NET -бинарника, содержащего XWorm. XWorm — это коммерческое вредоносное ПО, которое продается на подпольных форумах и имеет широкий спектр функций, позволяющих похищать конфиденциальную информацию с зараженных хостов. А возможность скачивать дополнительные полезные нагрузки значительно расширяет функционал программы, делая её своеобразным универсальным швейцарским ножом в киберпреступном мире. «По предварительной проверке кажется, что лицо или группа, ответственная за атаку, могут иметь Ближневосточное/Индийское происхождение, хотя окончательная принадлежность ещё не подтверждена», — сообщили исследователи. |
Проверить безопасность сайта