Бесплатно Экспресс-аудит сайта:

25.07.2024

SocGholish: помощь науке обернулась шпионажем

Специалисты компании Huntress сообщают, что вредоносный JavaScript-загрузчик SocGholish используется для доставки трояна AsyncRAT с помощью открытого проекта для вычислений BOINC .

BOINC (Berkeley Open Infrastructure Network Computing Client) — это открытая платформа для «добровольных вычислений», поддерживаемая Калифорнийским университетом в Беркли для проведения высокопроизводительных вычислений в научных проектах с помощью домашних компьютеров добровольцев, на которых установлено соответствующее приложение. По своей сути BOINC похож на криптомайнер – платформа использует компьютерные ресурсы для работы и вознаграждает пользователей криптовалютой Gridcoin, разработанной специально для этой цели.

В обнаруженной кампании вредоносные установки BOINC настроены на подключение к доменам злоумышленника (rosettahome[.]cn и rosettahome[.]top), которые служат C2 -серверами для сбора данных хоста, передачи полезных нагрузок и отправки дальнейших команд. По состоянию на 15 июля к двум доменам подключено 10 032 клиента.

Хосты, подключенные к вредоносному серверу BOINC, показанные на сайте администратора сервера

Хотя специалисты не наблюдали никакой последующей активности на зараженных хостах, предполагается, что подключения могут быть проданы другим злоумышленникам, что создаёт возможность для использования хостов в качестве начальных точек для внедрения программ-вымогателей.

Типичная последовательность атак SocGholish начинается с того, что пользователи заходят на взломанные веб-сайты, где предлагается скачать поддельное обновление браузера. После запуска «обновления» вредоносное ПО загружает дополнительные компоненты на зараженные машины.

В данном случае загрузчик JavaScript активирует две отдельные цепочки: одна приводит к установке бесфайловой версии (Fileless malware) AsyncRAT, а другая — к установке BOINC. Приложение BOINC маскируется под «SecurityHealthService.exe» или «trustedinstaller.exe» для избегания обнаружения и сохраняет своё присутствие с помощью запланированной задачи. Проект BOINC уже заметил использование своей платформы в злонамеренных целях и активно исследует проблему. Случаи злоупотребления зафиксированы с 26 июня 2024 года.

Цепочка заражения

AsyncRAT имеет множество функций, таких как регистрация нажатий клавиш, запись аудио/видео, кража информации, удаленное управление рабочим столом, восстановление паролей, запуск удаленной оболочки, доставка полезной нагрузки и другие.

Активные подключения зараженных клиентов к вредоносным серверам BOINC представляют собой значительный риск. Злоумышленники могут использовать подключения для выполнения любых команд или установки вредоносного ПО, что может привести к эскалации привилегий или распространению по сети и компрометации всего домена.