У хвилі корпоративних атак троян NetWire тепер ховається у файлах образів дисків

  • Oct 31, 2023

Корпоративні компанії стають мішенню шахрайства з діловою електронною поштою з використанням трояна.

Було помічено нову кампанію NetWire RAT, яка використовує фальшиві вкладені образи дисків, завантажені зловмисним програмним забезпеченням, для шахрайства з електронною поштою.

Троян NetWire Remote Access Trojan (RAT) є ключем до цієї останньої загрози для корпоративних гравців. Вперше помічений у 2012 році, RAT пройшов постійний цикл еволюції та оновлень розробниками, оскільки шкідливе програмне забезпечення пропонується комерційно на підпільних форумах.

Відповідно до Дослідники IBM X-Force Меган Родді та Лімор Кессем, троян був пов’язаний із широким спектром кампаній, «які варіюються від спроб нігерійських шахраїв щодо боротьби з кіберзлочинністю до атак з розширеною стійкою загрозою (APT).

Безпека

  • 8 звичок дуже безпечних віддалених працівників
  • Як знайти та видалити шпигунське програмне забезпечення з телефону
  • Найкращі служби VPN: як порівняти 5 найкращих?
  • Як дізнатися, чи причетні ви до витоку даних, і що робити далі

Дивись також: Постачальники антивірусів виправляють метод атаки програм-вимагачів EFS

У 2017 році дослідники AlienVault заявили, що NetWire є другий за поширеністю Троян, що загрожує корпоративним мережам, відразу за NjRat, RAT, зосередженим на цілях на Близькому Сході.

Однак останнє шахрайство Business Email (BEC) використовує нову техніку – спробу використання створені шкідливі файли зображень, які надсилаються як вкладення електронної пошти, щоб обійти існуючий захист елементи керування.

Багато шахрайства BEC йдуть за тією ж схемою. Надсилаються повідомлення, які маскуються під законні корпоративні запити чи запити, які містять посилання на шахрайські домени або документи, які використовують макроси як засіб для розгортання зловмисного програмного забезпечення. Однак прості вкладення образів дисків не такі поширені, і їх не так легко розпізнати як підроблені.

У дописі в блозі у вівторок команда повідомила, що файли .img надсилає невелика кількість загрозливих осіб, очевидно, з Німеччини. В одному випадку файл мав назву "Sales_Quotation_SQUO00001760.img", і після відкриття він витягував виконуваний файл, що містив NetWire.

CNET: Додаток Clearview дозволяє незнайомцям знайти ваше ім’я та інформацію за допомогою фотографії, йдеться у звіті

Після виконання першим завданням у списку NetWire є підтримка стійкості, що досягається плануванням завдань. Ключі реєстру також зберігаються, щоб полегшити передачу викраденої інформації на командно-контрольний сервер (C2) шкідливого програмного забезпечення через TCP-порт 3012.

Шкідливе програмне забезпечення вміє щоб викрасти системну інформацію, завантажувати та виконувати додаткові корисні навантаження, читати історію Інтернету, збирати облікові дані в тому числі ті, що використовуються браузерами та клієнтами електронної пошти, встановлювати клавіатурні шпигуни та імітувати клавіатуру та мишу операції.

Цілком ймовірно, що остання кампанія фінансово вмотивована, як і більшість шахрайств BEC. IBM припустила, що в цій кампанії, ймовірно, місцеві шахраї купилися на комерційно доступний троян, щоб пограбувати жертв.

TechRepublic: Баунти за помилки не зроблять вас багатими (але ви все одно повинні брати участь)

«Хоча більшість фінансово вмотивованих кіберзлочинів є роботою більших організованих злочинних груп, менші угруповання все ще активно працюють, і вони також націлені на бізнес, щоб зламати банківські рахунки та викрасти гроші, використовуючи комерційно доступне шкідливе програмне забезпечення цілий рік», – додали дослідники.

Врахувати комерційну природу зловмисного програмного забезпечення складно визначити авторство, однак підказки, знайдені в рядках коду, були написані індонезійською мовою.

У січні експерти з кібербезпеки з Zscaler і Positive Technologies задокументували оновлення FTCODE, програмне забезпечення-вимагач на основі PowerShell, яке нещодавно було оновлено за допомогою можливостей крадіжки облікових даних електронної пошти та браузера.

Найбільший Інтернет речей, хакі для розумного будинку 2019 року

Попереднє та супутнє покриття

  • Вам справді це "подобалося"? Як хамелеон атакує весну у Facebook, Twitter, LinkedIn
  • Податковий орган Великобританії HMRC шукає інструменти для відстеження криптовалютних злочинців
  • Програмне забезпечення-вимагач FTCODE тепер має функції браузера та крадіжки пароля електронної пошти

Є підказка? Безпечно зв’яжіться через WhatsApp | Сигнал за номером +447713 025 499 або на Keybase: charlie0