VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:
|
Рекламные объявления на Facebook* снова замешаны в распространении вредоносного ПО.
В новом отчёте компании Trustwave была обнаружена продвинутая кампания по распространению мощного вредоносного программного обеспечения, целью которого является кража данных с заражённых компьютеров.
Схема атаки начинается с рекламного объявления на Facebook *, ведущего к PDF-файлу на OneDrive, который якобы содержит детали вакансии. Однако при попытке открыть файл пользователя перенаправляют на загрузку файла с названием «pdf2.cpl», размещённого в сети Discord.
Этот файл представлен как документ DocuSign, но на самом деле является PowerShell-полезной нагрузкой, использующей файл управления Windows для выполнения.
Trustwave выделила четыре основных метода загрузки вредоносного ПО. Итак, заражение происходит через:
- CPL-файлы благодаря удалённым сценариям PowerShell;
- HTML-файлы методом HTML Smuggling для внедрения зашифрованных ZIP-файлов с зловредным содержимым;
- LNK-файлы (ярлыки Windows), маскирующиеся под текстовые файлы;
- SVG-файлы с встроенными RAR-архивами.
Финальная полезная нагрузка состоит из трёх файлов: легитимного исполняемого файла Windows (WerFaultSecure.exe), DLL для загрузки библиотек посредством DLL Sideloading (Wer.dll) и документа с вредоносным кодом (Secure.pdf).
Забудь про блокировки! VPN через Телеграмм-бот для России!
|
После выполнения вредоносное ПО устанавливает постоянство в заражённой системе, добавляя задачу в планировщик заданий под названием «Licensing2», которая запускается каждые 90 минут.
Ov3r_Stealer направлен на кражу данных из широкого спектра приложений, включая криптовалютные кошельки, веб-браузеры, расширения браузеров, Discord, Filezilla и многие другие, а также исследует конфигурацию системных служб в реестре Windows, вероятно, для идентификации потенциальных целей.
Краденая информация отправляется боту в Telegram каждые 90 минут, включая геолокационные данные жертвы и сводку по украденным данным. Trustwave обнаружила связь между каналом эксфильтрации в Telegram и определёнными именами пользователей, участвующими в форумах, связанных со взломом программного обеспечения.
Кроме того, исследователи отмечают сходство кода Ov3r_Stealer с вредоносным ПО на C# под названием Phemedrone, что может указывать на использование последнего в качестве основы для нового вируса.
В демонстрационных видеороликах, возможно, показывающих работу вредоносного ПО, злоумышленники использовали вьетнамский и русский языки, а также флаг Франции, что не даёт однозначно определить национальность злоумышленников. Возможно, они намеренно пытались затруднить свою атрибуцию.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Приватность — это право, а не роскошь.
Подпишитесь на наш канал и защитите свои права
Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.
Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.
