❗️ Россию накрывает новая волна фишинговой кампании!

🇷🇺 Многоэтапная фишинговая кампания нацелена на Россию с использованием RAT-программы Amnesia и Ransomware.

✉️ «Атака начинается с методов социальной инженерии, используемых в качестве приманки с помощью документов деловой тематики, которые выглядят обычными и безобидными», — заявила исследовательница Кара Лин. «Эти документы и сопровождающие их скрипты служат визуальными отвлекающими маневрами, перенаправляя жертв на фальшивые задачи или сообщения о состоянии, в то время как вредоносная деятельность незаметно происходит в фоновом режиме».

🔔 В рамках этой кампании используются методы социальной инженерии для распространения сжатых архивов, содержащих множество поддельных документов и вредоносный ярлык Windows (LNK) с русскоязычными именами файлов. Файл LNK использует двойное расширение. Один из примеров: "Задание_для_бухгалтера_02отдела.txt.lnk".

🔔 При выполнении скрипт запускает команду PowerShell для получения следующего этапа — сценария PowerShell, размещенного в репозитории GitHub ("github[.]com/Mafin111/MafinREP111"), который затем служит загрузчиком первого этапа для закрепления системы, подготовки системы к сокрытию следов вредоносной активности и передачи управления последующим этапам.

🔔 После того как документ отображается жертве для поддержания обмана, скрипт отправляет сообщение злоумышленнику через API Telegram-бота , информируя оператора об успешном выполнении первого этапа. После преднамеренно введенной задержки в 444 секунды скрипт PowerShell запускает скрипт Visual Basic ("SCRRC4ryuk.vbe"), размещенный в том же репозитории.

🪧 Скрипт Visual Basic сильно обфусцирован и выступает в роли контроллера, который собирает полезную нагрузку следующего этапа непосредственно в памяти, тем самым избегая оставления каких-либо следов на диске. Скрипт на заключительном этапе проверяет, выполняется ли он с повышенными привилегиями, и, если нет, многократно отображает запрос контроля учетных записей пользователей ( UAC ), чтобы заставить жертву предоставить ему необходимые разрешения. Скрипт делает паузу в 3000 миллисекунд между попытками.

🧾 Одна из последних полезных нагрузок, развертываемых после успешного отключения средств защиты и механизмов восстановления, — это Amnesia RAT ("svchost.scr"), которая загружается из Dropbox и способна к масштабной краже данных и удаленному управлению. Она предназначена для кражи информации, хранящейся в веб-браузерах, криптовалютных кошельках, Discord, Steam и Telegram, а также системных метаданных, скриншотов, изображений с веб-камеры, звука с микрофона, содержимого буфера обмена и заголовка активного окна.

☁️ Для противодействия злоупотреблениям со стороны defendnot в отношении API Центра безопасности Windows, Microsoft рекомендует пользователям включить защиту от несанкционированного доступа, чтобы предотвратить несанкционированные изменения настроек Defender, а также отслеживать подозрительные вызовы API или изменения в работе служб Defender.

❗️ Будьте внимательны и предупредите своих коллег! ❗️

#russia #phishing #rat #microsoft

Источник: https://www.fortinet.com/blog/threat-research/inside-a-multi-stage-windows-malware-campaign

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

🎇 В Packagist обнаружены вредоносные Laravel-пакеты, распространяющие RAT для Windows, macOS и Linux

Исследователи обнаружили вредоносные PHP-пакеты в репозитории Packagist, которые маскируются под вспомогательные библиотеки для Laravel. На самом деле они устанавливают кроссплатформенный троян удалённого доступа (RAT), способный работать на Windows, macOS и Linux.

Атака относится к классу supply chain attacks — злоумышленники распространяют вредоносный код через зависимости, которые разработчики устанавливают в свои проекты.

❗️ Вредоносные пакеты
Специалисты обнаружили следующие подозрительные пакеты:
▶️nhattuanbl/lara-helper
▶️nhattuanbl/simple-queue
▶️nhattuanbl/lara-swagger

Количество загрузок у них было небольшим, однако они всё равно представляют серьёзную угрозу для разработчиков и серверов, где используются.

Особенность атаки в том, что пакет lara-swagger не содержит вредоносный код напрямую — вместо этого он добавляет зависимость lara-helper, которая уже устанавливает RAT. Такой подход усложняет обнаружение угрозы.


❓Как работает вредоносный код
🔔 В пакетах lara-helper и simple-queue исследователи нашли PHP-файл:

src/helper.php

🔔 Вредоносный код использует несколько техник, чтобы затруднить анализ:
⏺️обфускацию потока управления
⏺️кодирование доменных имён
⏺️скрытие команд и путей
⏺️рандомизацию имён функций и переменных

Это значительно усложняет статический анализ и поиск вредоносной логики.

🕸 Подключение к серверу управления (C2)

После загрузки вредоносный код устанавливает соединение с сервером управления:
helper.leuleu[.]net:2096

Далее заражённая система отправляет информацию о системе и начинает ждать команды оператора. Это фактически даёт злоумышленнику полный удалённый доступ к машине.

Связь происходит по TCP через PHP-функцию:
stream_socket_client()

Благодаря этому вредоносный код остаётся работоспособным даже в средах с жёсткой конфигурацией безопасности PHP.

#rat #attack #laravel #windows #linux

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером