Европол провёл координированные меры в рамках операции Endgame, в результате которых задержаны минимум пять клиентов ботнета SmokeLoader. Правоохранители провели обыски, выдали ордера на арест и провели мероприятия типа «knock and talks» для задержания лиц, использовавших данную схему.
База данных, изъятая на предыдущих этапах следствия, позволила связать онлайн-персонажи с их реальными идентификационными данными. Несколько подозреваемых согласились предоставить доступ к личным устройствам, что подтвердило их участие в перепродаже услуг SmokeLoader с наценкой.
Оператор ботнета SmokeLoader, известный под псевдонимом Superstar, предоставлял платный доступ к заражённым машинам жертв. Эта платформа служила для загрузки дополнительных вредоносных программ, предназначенных для записи нажатий клавиш, доступа к веб-камерам, шифрования данных с требованием выкупа и криптомайнинга.
В дополнение к SmokeLoader специалисты зафиксировали активность и других вредоносных загрузчиков. Так, ModiLoader, также именуемый DBatLoader или NatsoLoader, распространялся посредством phishing-кампаний, использующих формат SCR-файлов для Windows, что подтверждено данными Broadcom-owned Symantec.
Legion Loader осуществлял атаки через эвразивную веб-кампанию, вводя пользователей в заблуждение приманкой в виде установки Windows MSI-файлов. Хитроумные методы, такие как pastejacking, побуждали жертв вставлять команды в окно «Выполнить», а маскировка страниц с CAPTCHA и оформление под блог-сайты затрудняли обнаружение угрозы, как отмечает Unit 42 Palo Alto Networks.
Фазу многоступенчатых атак реализовывали Koi Loader и связанный с ним Koi Stealer. Фишинговые кампании с запуском Koi Loader, обладающего функциями анти-VM, приводили к установке утилиты для кражи конфиденциальных данных, что было отражено в отчёте компании eSentire.
Возрождение GootLoader, также известного под именем SLOWPOUR, наблюдалось в начале ноября 2024 года. Атакующий механизм активировался через спонсируемые результаты поиска в Google по запросу «шаблон договора о неразглашении», что приводило пользователей на сайт lawliner[.]com, где после ввода email-адреса отправлялся документ, а затем загружался архивированный JavaScript-файл, запускающий вредоносную активность.
FakeUpdates, или SocGholish, представляет собой JavaScript-загрузчик, распространяемый посредством социальной инженерии под видом законного обновления для браузеров, например, Google Chrome. По информации от Google, злоумышленники используют скомпрометированные ресурсы для внедрения кода, который проводит отпечаток устройств, осуществляет проверки условий и отображает ложные обновления, инициируя затем drive-by загрузку дополнительных угроз.
Также зафиксированы другие JavaScript-семейства угроз, такие как FAKESMUGGLES и FAKETREFF. Первая группа, используя HTML-шаммлинг для доставки следующего этапа атаки (например, NetSupport Manager), а вторая устанавливает связь с удалёнными серверами для получения дополнительных payloads, например, DarkGate, и передачи базовой информации о заражённых хостах.
Изображение носит иллюстративный характер
База данных, изъятая на предыдущих этапах следствия, позволила связать онлайн-персонажи с их реальными идентификационными данными. Несколько подозреваемых согласились предоставить доступ к личным устройствам, что подтвердило их участие в перепродаже услуг SmokeLoader с наценкой.
Оператор ботнета SmokeLoader, известный под псевдонимом Superstar, предоставлял платный доступ к заражённым машинам жертв. Эта платформа служила для загрузки дополнительных вредоносных программ, предназначенных для записи нажатий клавиш, доступа к веб-камерам, шифрования данных с требованием выкупа и криптомайнинга.
В дополнение к SmokeLoader специалисты зафиксировали активность и других вредоносных загрузчиков. Так, ModiLoader, также именуемый DBatLoader или NatsoLoader, распространялся посредством phishing-кампаний, использующих формат SCR-файлов для Windows, что подтверждено данными Broadcom-owned Symantec.
Legion Loader осуществлял атаки через эвразивную веб-кампанию, вводя пользователей в заблуждение приманкой в виде установки Windows MSI-файлов. Хитроумные методы, такие как pastejacking, побуждали жертв вставлять команды в окно «Выполнить», а маскировка страниц с CAPTCHA и оформление под блог-сайты затрудняли обнаружение угрозы, как отмечает Unit 42 Palo Alto Networks.
Фазу многоступенчатых атак реализовывали Koi Loader и связанный с ним Koi Stealer. Фишинговые кампании с запуском Koi Loader, обладающего функциями анти-VM, приводили к установке утилиты для кражи конфиденциальных данных, что было отражено в отчёте компании eSentire.
Возрождение GootLoader, также известного под именем SLOWPOUR, наблюдалось в начале ноября 2024 года. Атакующий механизм активировался через спонсируемые результаты поиска в Google по запросу «шаблон договора о неразглашении», что приводило пользователей на сайт lawliner[.]com, где после ввода email-адреса отправлялся документ, а затем загружался архивированный JavaScript-файл, запускающий вредоносную активность.
FakeUpdates, или SocGholish, представляет собой JavaScript-загрузчик, распространяемый посредством социальной инженерии под видом законного обновления для браузеров, например, Google Chrome. По информации от Google, злоумышленники используют скомпрометированные ресурсы для внедрения кода, который проводит отпечаток устройств, осуществляет проверки условий и отображает ложные обновления, инициируя затем drive-by загрузку дополнительных угроз.
Также зафиксированы другие JavaScript-семейства угроз, такие как FAKESMUGGLES и FAKETREFF. Первая группа, используя HTML-шаммлинг для доставки следующего этапа атаки (например, NetSupport Manager), а вторая устанавливает связь с удалёнными серверами для получения дополнительных payloads, например, DarkGate, и передачи базовой информации о заражённых хостах.
