Новая кампания вредоносного ПО OBSCUREBAT использует методы социальной инженерии для доставки открытого rootkit r77 посредством многоступенчатого процесса, инициированного обфусцированным Windows batch-скриптом, запускающим команды PowerShell.
Открытый rootkit r77 обеспечивает устойчивое присутствие, скрывая файлы, процессы и записи реестра, а системный руткит в виде драйвера ACPIx86.sys помещается в каталог C:\Windows\System32\Drivers\ и активируется как сервис.
Многоуровневая обфускация реализуется через запуск install.bat, который инициирует выполнение PowerShell-команд payload, содержащим контроль потока, зашифрованные строки и названия функций, смешивающие арабские, китайские символы и специальные символы, а также добавляет обфусцированные скрипты в реестр.
Для обхода антивирусной защиты вредоносное ПО применяет AMSI-патчинг, внедряет дополнительные payload'ы и использует API hooking с инъекцией в критические процессы, такие как winlogon.exe, что значительно усложняет обнаружение и анализ атаки.
Социальная инженерия реализуется через имитацию легитимных загрузок, включая стратегию ClickFix с перенаправлением пользователей на поддельную страницу CAPTCHA от Cloudflare и рекламу маскированных под программные инструменты, такие как Tor Browser, VoIP-приложения и мессенджеры.
Основными целевыми объектами являются англоговорящие пользователи из США, Канады, Германии и Великобритании, к которым атака осуществляется через малвертайзинг и SEO-поисковую оптимизацию.
Помимо установки руткита, вредоносное ПО отслеживает активность буфера обмена и историю команд, сохраняя данные в скрытых файлах для последующего вывоза информации.
Специалисты Den Iuzvyk и Tim Peck в опубликованном отчете для The Hacker News подробно описали методы атаки, в то время как Securonix назвал данную кампанию OBSCUREBAT, подчеркивая её высокую степень обхода обнаружения.
Анализ ситуации выявил сходство с фишинговой кампанией подделки Microsoft Copilot, исследуемой Cofense, где посредством фишинговых писем жертв перенаправляют на поддельные страницы для искусственного интеллекта Microsoft с целью кражи учетных данных и 2FA-кодов.
Изображение носит иллюстративный характер
Открытый rootkit r77 обеспечивает устойчивое присутствие, скрывая файлы, процессы и записи реестра, а системный руткит в виде драйвера ACPIx86.sys помещается в каталог C:\Windows\System32\Drivers\ и активируется как сервис.
Многоуровневая обфускация реализуется через запуск install.bat, который инициирует выполнение PowerShell-команд payload, содержащим контроль потока, зашифрованные строки и названия функций, смешивающие арабские, китайские символы и специальные символы, а также добавляет обфусцированные скрипты в реестр.
Для обхода антивирусной защиты вредоносное ПО применяет AMSI-патчинг, внедряет дополнительные payload'ы и использует API hooking с инъекцией в критические процессы, такие как winlogon.exe, что значительно усложняет обнаружение и анализ атаки.
Социальная инженерия реализуется через имитацию легитимных загрузок, включая стратегию ClickFix с перенаправлением пользователей на поддельную страницу CAPTCHA от Cloudflare и рекламу маскированных под программные инструменты, такие как Tor Browser, VoIP-приложения и мессенджеры.
Основными целевыми объектами являются англоговорящие пользователи из США, Канады, Германии и Великобритании, к которым атака осуществляется через малвертайзинг и SEO-поисковую оптимизацию.
Помимо установки руткита, вредоносное ПО отслеживает активность буфера обмена и историю команд, сохраняя данные в скрытых файлах для последующего вывоза информации.
Специалисты Den Iuzvyk и Tim Peck в опубликованном отчете для The Hacker News подробно описали методы атаки, в то время как Securonix назвал данную кампанию OBSCUREBAT, подчеркивая её высокую степень обхода обнаружения.
Анализ ситуации выявил сходство с фишинговой кампанией подделки Microsoft Copilot, исследуемой Cofense, где посредством фишинговых писем жертв перенаправляют на поддельные страницы для искусственного интеллекта Microsoft с целью кражи учетных данных и 2FA-кодов.
