Операторы BazarLoader используют в атаках Slack и облака BaseCamp

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

19 апреля 2021 года

Wikinews-logo-ru.svg

Исследователи в области кибербезопасности из компании Sophos сообщили о новых кибератаках, в рамках которых операторы вредоносного ПО BazarLoader используют корпоративный мессенджер Slack, инструмент BaseCamp и голосовые вызовы для обмана пользователей.

По словам исследователей, в ходе первой вредоносной кампании злоумышленники атаковали сотрудников крупных организаций. Преступники рассылали электронные письма, якобы содержащие важную информацию о контрактах, обслуживании клиентов, счетах-фактурах или начислении заработной платы.

«Один образец спама был замаскирован под уведомление об увольнении сотрудника с работы», — отметили эксперты.

Ссылки в электронных письмах размещались в облачном хранилище Slack или BaseCamp и выглядят для потенциальной жертвы легитимными, если пользователь работает в организации, которая использует одну из этих платформ.

После нажатия на ссылку на устройство жертвы загружается BazarLoader. Ссылки обычно указывают непосредственно на исполняемый файл с цифровой подписью с изображением значка Adobe PDF. Вредоносные файлы обычно называются presentation-document.exe, preview-document-[номер].exe или Annualreport.exe. Исполняемые файлы при запуске внедряют полезную DLL-нагрузку в легитимные процессы Windows.

«Вредоносное ПО работает только в памяти и не может быть обнаружено при сканировании файловой системы инструментом защиты конечных точек. Сами файлы не используют легитимное расширение.DLL», — пояснили эксперты.

В рамках второй кампании под названием BazarCall отсутствовали подозрительные файлы или ссылки в спам-сообщениях. В письмах мошенники уведомляли получателя об истечении срока бесплатной пробной версии используемой online-службы и предлагали позвонить по номеру телефона для отказа от дорогостоящей платной подписки. Если жертва решала позвонить, мошенник предоставлял адрес web-сайта, где можно было предположительно отказаться от подписки на услугу.

Письма исходили якобы от компании Medical Reminder Service и содержали номер телефона и адрес реального офисного здания, расположенного в Лос-Анджелесе. В середине апреля в сообщениях использовалась приманка, связанная с поддельной платной online-библиотекой BookPoint. В рамках данной кампании преступники распространяли зараженные документы Microsoft Office, вызывающие команды для выполнения одной или нескольких вредоносных DLL-библиотек.

 

Источники[править]

Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Операторы BazarLoader используют в атаках Slack и облака BaseCamp