Компания Trellix выявила масштабную кампанию, в которой злоумышленники используют уязвимость DLL side-loading в легитимном бинарном файле, связанном с open-source библиотекой c-ares. Атакующие эксплуатируют файл
Данная кампания нацелена на коммерческий и промышленный секторы, в частности на нефтегазовую отрасль, а также сферу импорта и экспортных операций. Основными жертвами становятся сотрудники отделов финансов, закупок, цепочек поставок и администрирования. В качестве приманок хакеры используют темы счетов-фактур (Invoices) и запросов котировок (RFQ) на арабском, испанском, португальском, фарси и английском языках. Артефакты, обнаруженные на VirusTotal, включают специфические имена файлов, такие как
В результате успешной эксплуатации уязвимости через компонент GitKraken на устройства жертв загружается широкий спектр вредоносного ПО. Список полезных нагрузок включает инфостилеры и трояны удаленного доступа (RAT): Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Quasar RAT, DCRat и XWorm. Часто злоумышленники переименовывают исходный файл
Параллельно исследователь Марк Джозеф Марти из Trellix зафиксировал фишинговую активность, направленную на кражу учетных данных Ф⃰, которая продолжается как минимум с июля 2025 года. В этой кампании используется техника «Browser-in-the-Browser» (BitB), симулирующая фальшивое всплывающее окно аутентификации внутри браузера, визуально неотличимое от легитимного окна входа в Ф⃰. Для размещения фишинговых страниц злоумышленники злоупотребляют облачными платформами Netlify и Vercel, а также используют сервисы сокращения ссылок.
Сценарий атаки BitB начинается с фишингового письма, замаскированного под уведомление от юридической фирмы или сообщение о нарушении авторских прав. При клике на сокращенную ссылку жертва перенаправляется на поддельную страницу с М⃰ CAPTCHA, после прохождения которой активируется скрипт BitB. Социальная инженерия строится на темах блокировки аккаунта, подозрительной активности, нарушений авторских прав или предупреждений о проблемах с безопасностью.
Третью значимую угрозу задокументировали специалисты Forcepoint X-Labs в феврале 2025 года, а цепочку атаки детально проанализировала компания Trend Micro. Речь идет о распространении трояна AsyncRAT с использованием инфраструктуры TryCloudflare — бесплатного уровня сервисов Cloudflare. Злоумышленники создают туннели для хостинга WebDAV-серверов, что позволяет скрывать вредоносный трафик. Начальный вектор заражения включает ссылки Dropbox, ведущие на ZIP-архивы с файлами интернет-ярлыков (URL).
В этой кампании хакеры активно применяют методы Living-off-the-land (LotL), используя встроенные системные инструменты для обхода детектирования. Цепочка заражения начинается с запуска файла Windows Script Host (WSH), который скачивает вредоносные скрипты с WebDAV-сервера через TryCloudflare. Далее выполняются пакетные файлы (Batch) и разворачивается среда Python. Для обеспечения персистентности создаются скрипты в папке автозагрузки Windows. Финальным этапом является инъекция шелл-кода AsyncRAT в процесс
ahost.exe, который имеет цифровую подпись GitKraken и обычно распространяется в составе приложения GitKraken Desktop. Механизм атаки, известный как «перехват порядка поиска» (search order hijacking), заключается в размещении вредоносной версии библиотеки libcares-2.dll в одной директории с исполняемым файлом. При запуске ahost.exe система загружает поддельный DLL вместо легального, что позволяет злоумышленникам обойти традиционные сигнатурные защиты и добиться выполнения произвольного кода. Изображение носит иллюстративный характер
Данная кампания нацелена на коммерческий и промышленный секторы, в частности на нефтегазовую отрасль, а также сферу импорта и экспортных операций. Основными жертвами становятся сотрудники отделов финансов, закупок, цепочек поставок и администрирования. В качестве приманок хакеры используют темы счетов-фактур (Invoices) и запросов котировок (RFQ) на арабском, испанском, португальском, фарси и английском языках. Артефакты, обнаруженные на VirusTotal, включают специфические имена файлов, такие как
RFQ_NO_04958_LG2049 pdf.exe, PO-069709-MQ02959-Order-S103509.exe, 23RDJANUARY OVERDUE.INV.PDF.exe, sales contract po-00423-025_pdf.exe и Fatura da DHL.exe. В результате успешной эксплуатации уязвимости через компонент GitKraken на устройства жертв загружается широкий спектр вредоносного ПО. Список полезных нагрузок включает инфостилеры и трояны удаленного доступа (RAT): Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Quasar RAT, DCRat и XWorm. Часто злоумышленники переименовывают исходный файл
ahost.exe, чтобы скрыть следы присутствия легитимного, но уязвимого компонента в системе. Параллельно исследователь Марк Джозеф Марти из Trellix зафиксировал фишинговую активность, направленную на кражу учетных данных Ф⃰, которая продолжается как минимум с июля 2025 года. В этой кампании используется техника «Browser-in-the-Browser» (BitB), симулирующая фальшивое всплывающее окно аутентификации внутри браузера, визуально неотличимое от легитимного окна входа в Ф⃰. Для размещения фишинговых страниц злоумышленники злоупотребляют облачными платформами Netlify и Vercel, а также используют сервисы сокращения ссылок.
Сценарий атаки BitB начинается с фишингового письма, замаскированного под уведомление от юридической фирмы или сообщение о нарушении авторских прав. При клике на сокращенную ссылку жертва перенаправляется на поддельную страницу с М⃰ CAPTCHA, после прохождения которой активируется скрипт BitB. Социальная инженерия строится на темах блокировки аккаунта, подозрительной активности, нарушений авторских прав или предупреждений о проблемах с безопасностью.
Третью значимую угрозу задокументировали специалисты Forcepoint X-Labs в феврале 2025 года, а цепочку атаки детально проанализировала компания Trend Micro. Речь идет о распространении трояна AsyncRAT с использованием инфраструктуры TryCloudflare — бесплатного уровня сервисов Cloudflare. Злоумышленники создают туннели для хостинга WebDAV-серверов, что позволяет скрывать вредоносный трафик. Начальный вектор заражения включает ссылки Dropbox, ведущие на ZIP-архивы с файлами интернет-ярлыков (URL).
В этой кампании хакеры активно применяют методы Living-off-the-land (LotL), используя встроенные системные инструменты для обхода детектирования. Цепочка заражения начинается с запуска файла Windows Script Host (WSH), который скачивает вредоносные скрипты с WebDAV-сервера через TryCloudflare. Далее выполняются пакетные файлы (Batch) и разворачивается среда Python. Для обеспечения персистентности создаются скрипты в папке автозагрузки Windows. Финальным этапом является инъекция шелл-кода AsyncRAT в процесс
explorer.exe, при этом для отвлечения внимания пользователю демонстрируется безопасный PDF-документ-приманка.
