Бесплатно Экспресс-аудит сайта:

23.05.2024

Не доверяйте именам файлов: как спецсимволы Unicode способы одурачить даже опытных специалистов

Исследователи компании Securonix обнаружили новую кампанию кибератак под названием CLOUD#REVERSER. В ходе этой операции злоумышленники используют легитимные облачные сервисы, такие как Google Drive и Dropbox, для размещения там вредоносных файлов.

«Скрипты на VBScript и PowerShell в рамках CLOUD#REVERSER выполняют C2 -действия, используя Google Drive и Dropbox как платформы для управления загрузками и скачиванием файлов», — сообщили исследователи Ден Иузвик, Тим Пек и Олег Колесников в своём отчёте.

Атака начинается с фишингового письма, которое содержит ZIP-архив с исполняемым файлом, маскирующимся под Microsoft Excel. Мало того, что этот файл использует иконку с логотипом Excel, в имени файла также применён скрытый символ Unicode (U+202E), который переворачивает порядок следующих символов в строке, обманывая пользователя и заставляя его думать, что он открывает файл Excel.

Так, рассмотренный в рамках кампании исполняемый файл «RFQ-101432620247fl[U+202E]xslx.exe» отображался в системе жертвы под видом «RFQ-101432620247flexe.xlsx».

В ходе атаки исполняемый файл запускает восемь вредоносных нагрузок, включая поддельный Excel-файл и сильно обфусцированный скрипт на Visual Basic, который открывает файл Excel и запускает два других скрипта.

Оба скрипта создают постоянное присутствие на компьютере жертвы, используя задачу в планировщике Windows, маскируясь под обновление браузера Google Chrome. Эти задачи запускают уникальные VB-скрипты каждые 60 секунд.

Каждый из этих скриптов запускает по два PowerShell-скрипта, которые подключаются к управляемым злоумышленниками аккаунтам Dropbox и Google Drive для загрузки дополнительных скриптов.

Эти скрипты затем запускают загруженные PowerShell-скрипты и скачивают дополнительные файлы из облачных сервисов, включая исполняемые файлы в зависимости от настроек системы.

Последний PowerShell-скрипт загружает файлы с Google Drive на локальную систему в директорию ProgramData, выполняя их в зависимости от критериев, установленных злоумышленниками.

Также через «68904.tmp» загружается PowerShell-скрипт, способный выполнять сжатый бинарный файл напрямую из памяти, поддерживая подключение к серверу командного управления.

«Этот подход позволяет злоумышленникам оставаться незамеченными, встраивая вредоносные скрипты в обычные облачные платформы, обеспечивая постоянный доступ к целевым системам и используя эти платформы для эксфильтрации данных и выполнения команд», — заключили исследователи.

Исследователи Securonix сообщили, что пока не могут предоставить информацию о целях и масштабе кампании, так как расследование всё ещё продолжается.

Этот инцидент подчёркивает тенденцию злоумышленников использовать легитимные сервисы для скрытого проведения атак и демонстрирует их способности адаптироваться, применяя такие методы и техники, о которых даже опытные специалисты могут не догадываться.

Всё это требует от пользователей и компаний повышенного внимания к безопасности и необходимости регулярно обновлять свои системы и освежать технические знания для защиты от подобных киберугроз.