Хакеры используют поддельную капчу CloudFlare для сокрытия загрузки трояна
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

→ Оставить заявку
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

Хакеры используют поддельную капчу CloudFlare для сокрытия загрузки трояна

Хакеры используют поддельную капчу CloudFlare для сокрытия загрузки трояна

В Sucuri наблюдают развитие запущенной в августе кампании, нацеленной на засев RAT в связке с инфостилером по методу скрытой загрузки (drive-by). Злоумышленники внедряют на WordPress-сайты JavaScript, который отображает фейковую страницу защитного сервиса CloudFlare и предлагает посетителю скачать некий софт для завершения проверки.

Вредоносные JavaScript-инъекции осуществляются путем добавления трех строк кода в компоненты ядра CMS, файлы тем или плагинов. Количество сайтов, зараженных в ходе новых атак, невелико — меньше 1 тыс.; почти в половине случаев непрошеный довесок был обнаружен в /wp-includes/js/jquery/jquery.min.js.

Ранее этот скрипт загружал необходимый для работы контент (на тот момент поддельное предупреждение защиты CloudFlare от DDoS) из домена adogeevent[.]com. Новые варианты JavaScript-сценария запрашивают другие домены, хотя IP-адрес остался прежним.

Изменилось также скачиваемое содержимое. Теперь потенциальной жертве выводят диалоговое окно CAPTCHA, якобы подтянутое с сервера CloudFlare.

 

При вводе любого значения в указанном поле (даже правильного) всплывает подсказка: для получения доступа к сайту необходимо завершить проверку; если возникли проблемы, скачайте наш софт, чтобы больше не тратить время на тесты.

Клик по вставленной кнопке Download влечет загрузку файла .iso с последующей распаковкой вредоносного содержимого — CLOUDFLA.EXE или Cloudflare_security_installer.exe. Чтобы усилить иллюзию легитимности и отвлечь внимание, в системе запускается процесс обновления Google Chrome: примечательно, что апдейтер при этом использует русский язык.

Тем временем в фоновом режиме в систему устанавливается RAT — инструмент удаленного администрирования NetSupport, полюбившийся вымогателям SocGholish. Эта полезная нагрузка, по словам аналитиков, осталась прежней. Тем не менее, ее распознают лишь два десятка антивирусов из коллекции VirusTotal (по состоянию на 15 сентября).

В придачу к RAT жертва, как и ранее, получает инфостилера Racoon. У Джерома Сегуры (Jerome Segura) из Malwarebytes по поводу зловреда иное мнение — эксперт считает, что это троян Amadey с C2-сервером в Штатах. Продукты Kaspersky и некоторые другие сканеры детектируют вредоносный комплект с вердиктом «банковский троян» — не исключено, что заражение может обернуться финансовыми потерями.

Эксперты Sucuri зафиксировали схожую атаку, но с использованием другой фейковой страницы CloudFlare — предупреждения о блокировке доступа.

 

При этом для загрузки предлагался троянский файл весом 669,9 Мбайт. Видимо, автор атаки пытался таким образом обойти антивирусы, которые обычно пропускают большие файлы из-за лимита на размеры. Полезная нагрузка также включала записку с советом запустить экзешник — якобы для того, чтобы почистить системный реестр, но тогда зловреда можно было бы вычислить с помощью поведенческого анализа и эвристик.

Аналитики также отметили случай хостинга полезной нагрузки на GitLab. Мошеннический аккаунт уже заблокирован.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В России заработала платформа Kaspersky Cybersecurity Training

Анонсирован запуск русскоязычной платформы Kaspersky Cybersecurity Training, на которой специалисты по ИТ и ИБ смогут оттачивать свои навыки с помощью онлайн-курсов, разработанных в «Лаборатории Касперского».

Программы обучения, в том числе самостоятельного, также будут полезны организациям, желающим расширить компетенции своих безопасников. Ранее тренинги Kaspersky были доступны лишь на английском языке.

Представленные на платформе курсы разнообразны и рассчитаны на разные уровни подготовки. На русском языке представлены популярный тренинг «Техники продвинутого анализа вредоносного ПО» и новый — «Безопасная разработка программного обеспечения».

Последний будет расширяться, а пока охватывает следующие темы:

  • основы и жизненный цикл безопасной разработки, опыт реализации и внедрения, основные практики и инструменты;
  • подходы к моделированию киберугроз и проектированию архитектуры продуктов;
  • основы OWASP, интеграция инструментов и проектов OWASP в процессы разработки;
  • безопасная разработка на С/C++, с подробным разбором образцов кода; рекомендации по предотвращению и исправлению ошибок, приводящих к появлению уязвимостей.

«Онлайн-тренинги “Лаборатории Касперского” для ИБ-экспертов прошли специалисты из более чем 50 стран, — комментирует Антон Иванов, директор Kaspersky по исследованиям и разработке. — Эти курсы использовались в том числе для обучения сотрудников Интерпола. Наше портфолио охватывает разные темы, от базовых знаний по реверс-инжинирингу и написанию правил YARA до продвинутых методов поиска угроз и анализа вредоносного ПО, исследования инцидентов и цифровой криминалистики. Теперь они стали доступнее для русскоязычных специалистов».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru