В третьем квартале 2024 года эксперты HP Wolf Security обнаружили тревожную тенденцию: злоумышленники все чаще прячут вредоносное ПО в изображениях, используя для этого легитимные файлообменные сервисы, такие как archive[.]org. Эти атаки, которые начинаются с фишинговых писем, маскирующихся под счета, заказы на покупку или запросы котировок, представляют серьезную угрозу для организаций и частных лиц.
Начальной точкой вторжения часто служат вредоносные вложения в электронных письмах – это могут быть Excel-файлы, архивы или JavaScript-файлы. Помимо этого, злоумышленники не гнушаются распространять вредоносное ПО через GitHub, маскируя его под читы для видеоигр.
После того как жертва открывает вредоносный файл, в дело вступает многоступенчатая цепочка заражения. Сначала запускается VBScript-файл, который, в свою очередь, активирует PowerShell-скрипт. Этот скрипт занимается загрузкой изображения с archive[.]org. Внутри изображения, замаскированное с помощью Base64-кодировки, скрывается вредоносный код.
Далее происходит декодирование скрытого кода, что приводит к загрузчика. Этот загрузчик является общим для различных вредоносных кампаний и служит для развертывания финальной вредоносной нагрузки. Одной из распространенных тактик является эксплуатация уязвимости CVE-2017-11882, существующей в редакторе Equation Editor.
Финальная вредоносная нагрузка может включать в себя различные типы вредоносных программ. Одним из примеров является VIP Keylogger – кейлоггер, способный красть нажатия клавиш, данные буфера обмена, снимки экрана и учетные данные. Эта программа имеет функциональное сходство с кейлоггерами Snake Keylogger и 404 Keylogger. Другие вредоносные программы, которые часто используются в подобных атаках, – это 0bj3ctivity Stealer (информационный стилер), XWorm (троян удаленного доступа) и Lumma Stealer (стилер, распространяемый через GitHub). XWorm, к примеру, часто распространяется с помощью HTML-контрабанды и AutoIt-дроппера. AsyncRAT — еще один RAT, который распространяется аналогичным образом. Lumma Stealer дроппер.
Особую опасность представляет то, что злоумышленники все чаще прибегают к использованию вредоносных наборов, что позволяет им упростить процесс и повысить эффективность своих атак. Этот фактор снижает порог входа в киберпреступность, делая ее доступной для менее квалифицированных злоумышленников.
Тревожной тенденцией является и использование GenAI для генерации вредоносных HTML-файлов. Это указывает на растущую автоматизацию и изощренность методов, применяемых злоумышленниками, и демонстрирует растущую тенденцию к автоматизации и запутыванию атак.
Эксперт в HP Security Lab, Алекс Холланд, подчеркивает, что такие атаки становятся все более распространенными, и пользователям необходимо быть предельно бдительными, особенно при открытии файлов, полученных из ненадежных источников. Изображения, полученные из интернета, следует проверять с особой тщательностью.
Таким образом, угроза распространения вредоносного ПО, скрытого в изображениях, представляет собой серьезную проблему для кибербезопасности. Пользователи должны быть крайне осторожны при обращении с подозрительными письмами и файлами, а также использовать современные защитные средства для предотвращения подобных атак. Коммерциализация киберпреступности, использование вредоносных наборов и GenAI делают эти угрозы все более серьезными, а защиту от них – более сложной задачей.
Изображение носит иллюстративный характер
Начальной точкой вторжения часто служат вредоносные вложения в электронных письмах – это могут быть Excel-файлы, архивы или JavaScript-файлы. Помимо этого, злоумышленники не гнушаются распространять вредоносное ПО через GitHub, маскируя его под читы для видеоигр.
После того как жертва открывает вредоносный файл, в дело вступает многоступенчатая цепочка заражения. Сначала запускается VBScript-файл, который, в свою очередь, активирует PowerShell-скрипт. Этот скрипт занимается загрузкой изображения с archive[.]org. Внутри изображения, замаскированное с помощью Base64-кодировки, скрывается вредоносный код.
Далее происходит декодирование скрытого кода, что приводит к загрузчика. Этот загрузчик является общим для различных вредоносных кампаний и служит для развертывания финальной вредоносной нагрузки. Одной из распространенных тактик является эксплуатация уязвимости CVE-2017-11882, существующей в редакторе Equation Editor.
Финальная вредоносная нагрузка может включать в себя различные типы вредоносных программ. Одним из примеров является VIP Keylogger – кейлоггер, способный красть нажатия клавиш, данные буфера обмена, снимки экрана и учетные данные. Эта программа имеет функциональное сходство с кейлоггерами Snake Keylogger и 404 Keylogger. Другие вредоносные программы, которые часто используются в подобных атаках, – это 0bj3ctivity Stealer (информационный стилер), XWorm (троян удаленного доступа) и Lumma Stealer (стилер, распространяемый через GitHub). XWorm, к примеру, часто распространяется с помощью HTML-контрабанды и AutoIt-дроппера. AsyncRAT — еще один RAT, который распространяется аналогичным образом. Lumma Stealer дроппер.
Особую опасность представляет то, что злоумышленники все чаще прибегают к использованию вредоносных наборов, что позволяет им упростить процесс и повысить эффективность своих атак. Этот фактор снижает порог входа в киберпреступность, делая ее доступной для менее квалифицированных злоумышленников.
Тревожной тенденцией является и использование GenAI для генерации вредоносных HTML-файлов. Это указывает на растущую автоматизацию и изощренность методов, применяемых злоумышленниками, и демонстрирует растущую тенденцию к автоматизации и запутыванию атак.
Эксперт в HP Security Lab, Алекс Холланд, подчеркивает, что такие атаки становятся все более распространенными, и пользователям необходимо быть предельно бдительными, особенно при открытии файлов, полученных из ненадежных источников. Изображения, полученные из интернета, следует проверять с особой тщательностью.
Таким образом, угроза распространения вредоносного ПО, скрытого в изображениях, представляет собой серьезную проблему для кибербезопасности. Пользователи должны быть крайне осторожны при обращении с подозрительными письмами и файлами, а также использовать современные защитные средства для предотвращения подобных атак. Коммерциализация киберпреступности, использование вредоносных наборов и GenAI делают эти угрозы все более серьезными, а защиту от них – более сложной задачей.
