Кіберзлочинці почали поширювати Quasar RAT через фальшиві резюме

09:33
Кіберзлочинці почали поширювати Quasar RAT через фальшиві резюме

       Фахівці компанії Cofense виявили нову фішингову операцію, в рамках якої зловмисники заражають комп'ютери на базі Windows інструментом для віддаленого адміністрування (RAT) Quasar, використовуючи підроблені резюме.

     У той час як фальшиві резюме та інші типи документів є досить поширеним методом доставки шкідливого ПЗ, одна з особливостей нової кампанії полягає у використанні декількох методів, які ускладнюють проведення аналізу векторів зараження.
   Quasar — відомий відкритий інструмент, розроблений на мові C #, який раніше неодноразово був помічений в операціях різних хакерських угруповань, наприклад, APT33, APT10, Dropping Elephant, Stone Panda або The Gorgon Group. Функціонал програми включає можливість віддаленого підключення до робочого столу, записи натискань на клавіатурі та крадіжки паролів жертв, завантаження і ексфільтраціі файлів, управління процесами на зараженому пристрої, а також можливість зйомки скріншотів і запису з web-камер.
В рамках нової фішингової кампанії зловмисники під виглядом резюме поширюють захищені паролем документи Microsoft Word. Після введення пароля «123», зазначеного в фішинговому повідомленні, документ запитує активацію макросу. Однак на відміну від інших подібних атак в даному випадку макрос містить «сміттєвий» код, закодований в base64, покликаний вивести з ладу аналітичні інструменти, встановлені на комп'ютері.
     «При успішному запуску макросу на екрані відобразиться ряд зображень, нібито що завантажують контент, але одночасно з цим додають« сміттєвий »рядок в вміст документа. Далі з'явиться повідомлення про помилку, але в той же час в фоновому режимі на комп'ютер завантажиться і запуститься шкідливий виконуваний файл », — пояснили експерти.
    З араження програмою Quasar відбувається через виконуваний файл, що саморозпаковується,  розміром 401 МБ, що завантажується з підконтрольного зловмисникам сервера. Великий розмір архіву ускладнює завдання аналізу шкідливого ПЗ, відзначають дослідники.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.