Кампания начинается с фишингового письма, содержащего вредоносную ссылку. При нажатии на ссылку загружается URL-файл, который, в свою очередь, загружает LNK-файл.
LNK-файл и выполнение PowerShell-команд
LNK-файл использует команды PowerShell для загрузки HTA-скрипта, замаскированного под значок наложения. HTA-скрипт извлекает и выполняет скрытый PowerShell-скрипт, который работает в фоновом режиме и загружает подставной PDF и вредоносный инжектор shell-кода, внедряя конечный стилер в легитимные процессы.
Внедрение Shell-кода
Выявлено два типа инжекторов. Первый инжектор использует файл изображения для получения shell-кода с низкими показателями обнаружения на VirusTotal. Второй инжектор загружает JPG-файл с сайта Imghippo и использует Windows API «GdipBitmapGetPixel» для доступа к пикселям и декодирования байтов для получения shell-кода. Другой инжектор более прямолинеен, расшифровывая свой код из секции данных и используя серию функций Windows API для выполнения внедрения shell-кода.
Развертывание стилера
Внедренный код загружает и устанавливает вредоносное ПО для кражи информации, такое как Meduza Stealer версии 2.9 или ACR Stealer.
Кража данных и региональная нацеленность
ACR Stealer нацелен на различные приложения, включая браузеры, криптокошельки, мессенджеры, FTP-клиенты, почтовые клиенты, VPN-сервисы, менеджеры паролей и другие инструменты. Стилер может адаптировать легитимные веб-сервисы для поддержания связи со своим C2-сервером. Кампания, по-видимому, нацелена на определенные регионы, с подставными PDF-файлами, ориентированными на Северную Америку, Испанию и Таиланд.
Реализация последних обновлений безопасности от Microsoft для устранения уязвимости CVE-2024-21412 имеет решающее значение для защиты. Пользователи должны быть осторожны с фишинговыми ссылками и загрузкой неизвестных файлов. Решения для обеспечения безопасности электронной почты могут обнаруживать и блокировать попытки фишинга. Комплексный пакет безопасности может обеспечить защиту от вредоносного ПО в реальном времени.
Полный список целевых приложений доступен здесь.
Г-н Нгок Буи, эксперт по кибербезопасности в Menlo Security, прокомментировал недавнее развитие событий:
- Windows Defender Flaw Exploited by Phemedrone Stealer
- Critical New Outlook RCE Vulnerability Exploits Preview Pane
- 7-Year-Old 0-Day in MS Office Exploited to Drop Cobalt Strike
- Black Basta Ransomware Exploited Windows 0-day Before Patch
- Palo Alto Patches 0-Day (CVE-2024-3400) Exploited by Backdoor
- MS Outlook Vulnerability Exploited by Russian Forest Blizzard Group
- Microsoft Releases Tool to Fix CrowdStrike-Caused Windows Chaos
- Russian APT28 Exploiting Windows Vulnerability with GooseEgg Tool
