Ssylka

APT36 подделывает сайт India Post для заражения систем

Фейковый сайт имитирует официальный ресурс India Post и используется для распространения вредоносного ПО, нацеленное на пользователей Windows и Android в Индии. Исследование, проведённое компанией CYFIRMA, связывает кампанию с группой APT36, также известной как Transparent Tribe, имеющей связи с Пакистаном.
APT36 подделывает сайт India Post для заражения систем
Изображение носит иллюстративный характер

При обращении с компьютера на базе Windows пользователям предлагается скачать PDF-документ, содержащий инструкцию, известную как «ClickFix». Пользователи видят подсказку нажать сочетание клавиш Win+R, чтобы открыть диалоговую форму, после чего им предлагается вставить предоставленный PowerShell-команда, что потенциально приводит к компрометации системы.

EXIF-анализ PDF документа выявил дату создания 23 октября 2024 года и имя автора «PMYLS», что, вероятно, является ссылкой на пакистанскую инициативу Prime Minister Youth Laptop Scheme. Эти данные указывают на целенаправленную атаку с использованием тщательно спланированных методов.

Злоумышленники зарегистрировали домен 20 ноября 2024 года, что свидетельствует о периодичном обновлении активности кампании. Дополнительно, предоставленный PowerShell-скрипт рассчитан на скачивание следующего уровня вредоносного ПО с удалённого сервера по IP-адресу 88.222.245.211, который на данный момент неактивен.

При посещении сайта с мобильного устройства Android пользователям предлагается установить мобильное приложение с названием indiapost.apk для «улучшения опыта работы». Приложение запрашивает обширный список разрешений, позволяющих собирать контакты, текущую геолокацию и файлы из внешнего хранилища.

Особенность APK-файла заключается в маскировке: иконка приложения изменяется на неподозрительную, имитирующую стандартный логотип Google Accounts, что затрудняет его обнаружение и удаление. Отказ в предоставлении каких-либо разрешений вынуждает приложение требовать их обязательное принятие, при этом оно продолжает работать в фоновом режиме даже после перезагрузки устройства и игнорирует оптимизацию батареи.

Техника «ClickFix» всё чаще используется кибермошенниками, APT-группами и другими злоумышленниками, демонстрируя рост угрозы для как рядовых пользователей, так и специалистов в области ИТ-безопасности. Многоуровневый подход, охватывающий как компьютерные системы, так и мобильные устройства, подчёркивает сложность и высокую организованность атаки, требующей повышенной бдительности со стороны пользователей.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов