02.03.2024 | Виртуальное вино – реальные риски: вредонос WINELOADER предлагает дипломатам бокал за их безопасность |
Неизвестная хакерская группа, получившая название SPIKEDWINE, атакует послов из ряда европейских стран, где действуют индийские дипломатические миссии. Для реализации своих целей злоумышленники используют новый вредоносный бэкдор - WINELOADER. Об этом сообщается в отчете компании Zscaler ThreatLabz . Согласно их данным, в рамках атак хакеры рассылали сотрудникам дипмиссий pdf -файлы, якобы от имени посла Индии. Эти письма содержали приглашения на дегустацию вин, намеченную на 2 февраля 2024 года. Один из pdf-документов такого рода был загружен на ресурс VirusTotal 30 января 2024 года из Латвии. Вместе с тем есть основания полагать, что кампания могла начаться еще 6 июля 2023 года. На это указывает обнаружение еще одного похожего pdf из той же страны. «Атака отличается небольшими масштабами и использованием продвинутых методов, техник и процедур как в самом вредоносном ПО, так и в инфраструктуре управления и контроля», - констатировали исследователи безопасности из Sudeep Singh и Roy Tay. В pdf-файле содержится вредоносная ссылка, маскирующаяся под опросник. Адресатов просят заполнить анкету для участия в мероприятии. Переход по этой ссылке приводит к загрузке html-приложения («wine.hta») с обфусцированным javascript-кодом. Он предназначен для получения зашифрованного архива ZIP с вредоносной программой WINELOADER с того же домена. Ядро WINELOADER включает модуль, который скачивает дополнительные элементы с командного сервера. Также он внедряется в сторонние dll-библиотеки и сокращает интервал времени между отправкой запросов. Отличительной чертой этих кибератак является использование взломанных веб-сайтов в качестве серверов управления и для размещения вредоносного ПО. Предположительно, командные серверы принимают запросы от вредоносных программ только в определенное время и по специальному протоколу. Это делает атаки более скрытными и затрудняет их обнаружение. Как отмечают исследователи, хакеры предприняли значительные усилия, чтобы замести свои следы. В частности, они избегали действий, которые могут привлечь внимание систем анализа памяти и автоматизированного сканирования URL-адресов. |
Проверить безопасность сайта