ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьОт буфера обмена к компромиссу: автономное решение PowerShell
Proofpoint выявила новый метод социальной инженерии, используемый злоумышленниками, включая TA571 и ClearFake cluster, для заражения компьютеров вредоносными программами. В этом методе пользователям предлагается скопировать и вставить вредоносные сценарии PowerShell в терминал PowerShell или диалоговое окно запуска Windows, чтобы запустить сценарий через PowerShell. Этот метод применяется с марта 2024 года и используется в кампаниях, которые начинаются с рассылки спама по электронной почте или рассылаются через веб-браузер. Вредоносные скрипты выполняют различные функции, такие как очистка кэша DNS, удаление содержимого буфера обмена, а также загрузка и выполнение дополнительных сценариев PowerShell. Эти скрипты могут привести к установке нескольких семейств вредоносных программ, включая DarkGate, Matanbuchus, Net Support и другие. В одном из примеров кампания ClearFake использует этот метод для загрузки вредоносного скрипта, размещенного в блокчейне через смарт-контракты Binance, с последующим наложением поддельного предупреждения, в котором пользователю предлагается установить "корневой сертификат" для корректного просмотра веб-сайта. Если пользователь следует инструкциям, он запускает сценарий PowerShell и потенциально устанавливает вредоносное ПО. Кластер действий ClickFix, запущенный в середине апреля 2024 года, использует аналогичную программу на основе iframe для отображения сообщения об ошибке, что потенциально может привести к установке Vidar Stealer. Несмотря на сообщение об ошибке, домен полезной нагрузки, используемый в PowerShell, был отключен вскоре после обнаружения. Было замечено, что TA571 использует этот метод в кампаниях с марта 2024 года, используя различные визуальные приманки и предлагая жертве открыть терминал PowerShell или используя диалоговое окно запуска. Актер также удаляет формулировку, которая относится к копированию/вставке, злоупотребляя тем фактом, что жертве не нужно знать, что что-то копируется в буфер обмена.Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.
Ссылка:https://www.proofpoint.com/us/blog/threat-insight/clipboard-compromise-powershell-self-pwn
Примеры показателей Compromise:
- https://lashakhazhalia86dancer.com/c.txt
- https://kostumn1.ilabserver.com/1.zip
- https://oazevents.com/loader.html
- mylittlecabbage.net
- https://jenniferwelsh.com/header.png
Новость дополняется...
Источник: TTL OSINT 
Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
