ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Взлом Darkgate Pastejacking – анализ и разбивка цепочки атак

В мае 2024 года Центр анализа угроз и реагирования на них Hornet security обнаружил серию фишинговых кампаний, распространяющих вредоносное ПО Darkgate с использованием новой технологии взлома паролей. Электронные письма, отправленные с 17 доменов, контролируемых участниками, содержали короткие предложения, призванные создать ощущение срочности или авторитетности, призывающие получателя открыть вредоносное вложение. В HTML-документе отображалась поддельная папка Microsoft OneDrive с кружком загрузки, в попытке убедить жертву, что открывается PDF-файл под названием "Отчеты.pdf". При нажатии кнопки "Как исправить" появлялось новое сообщение, предлагающее жертве открыть терминал Windows или консоль PowerShell и вставить содержимое буфера обмена. Это позволило злоумышленникам выполнять команды, включая очистку кэша распознавателя DNS и расшифровку строки base64, содержащей вредоносный сценарий PowerShell. Скрипт загрузил ZIP-документ с удаленного сервера, сохранил его в папке c:, распаковал содержимое и запустил Autoit3.exe используя script.a3x в качестве аргумента. Кампания была нацелена на широкий спектр отраслей и географических местоположений, сосредоточив 75% своих усилий на секторах B2B и 25% - на секторах B2C. Надлежащее обучение безопасности является одним из наиболее эффективных способов защиты от подобных угроз.< / p>

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.hornetsecurity.com/en/security-information/darkgate-pastejacking-analysis/

Примеры показателей Compromise:

• https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta
• exportersnet.com
• wthome.cn
• automobile-locksmith.com
• megabrightsigns.com

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал