Оферта за отстъпка за множество лицензи
База данни за заплахи Фишинг Фантомпулс плъх

Фантомпулс плъх

До Mezo през Фишинг, Инструменти за отдалечено администриранег
Превод на:

Появи се сложна кампания за социално инженерство, използваща Obsidian като начален вектор за достъп, за да внедри досега недокументиран троянски кон за отдалечен достъп до Windows, известен като PHANTOMPULSE. Кампанията е насочена специално към лица, работещи във финансовия сектор и сектора на криптовалутите, като се възползва от доверието в легитимни инструменти, за да заобиколи традиционните очаквания за сигурност.

Операция REF6598: Измама чрез професионални мрежи

Обозначена като REF6598 от изследователи по киберсигурност, тази кампания използва усъвършенствани техники за социално инженерство чрез LinkedIn и Telegram. Целите първоначално се осъществява под претекст за сътрудничество с фирма за рисков капитал. Впоследствие разговорите се прехвърлят в групови чатове в Telegram, пълни с имитирани „партньори“, създавайки убедителна фасада на легитимност.

В рамките на тези групи дискусиите се въртят около финансови услуги и стратегии за ликвидност на криптовалути, което засилва доверието. В крайна сметка жертвите получават инструкции да получат достъп до споделено табло за управление чрез облачно хоствано хранилище на Obsidian, използвайки предоставените им идентификационни данни.

Скритият спусък: Активиране на злонамерен трезор

Веригата на заразяване се активира, когато жертвата отвори споделения трезор в Obsidian. На този етап потребителят бива подканен да активира синхронизацията за „Инсталирани плъгини от общността“ – функция, която е деактивирана по подразбиране. Това ръчно действие е критично, тъй като позволява изпълнението на вградени злонамерени конфигурации.

Атакуващите използват легитимни плъгини, по-специално Shell Commands и Hider, за да изпълняват неоторизиран код. Докато Shell Commands улеснява изпълнението, Hider скрива елементи на интерфейса, като лентата на състоянието и подсказките, намалявайки вероятността от откриване. Атаката се основава изцяло на убеждаването на потребителя да активира синхронизирането на плъгините, като по този начин заобикаля вградените защити.

Укриване по дизайн: Живот с легитимни функции

Тази кампания се откроява със стратегическата си злоупотреба с функционалността на надеждни приложения, вместо с използването на софтуерни уязвимости. Ключови характеристики включват:

  • Злонамерените полезни товари са вградени в JSON конфигурационни файлове, което ги прави по-малко вероятно да задействат традиционното антивирусно откриване.
  • Изпълнението се извършва чрез подписано приложение, базирано на Electron, което усложнява откриването, базирано на родителски процес.
  • Устойчивостта и изпълнението на команди разчитат изцяло на легитимни механизми на плъгини в приложението

Верига за заразяване на Windows: от зареждащ програмен продукт до резидентна задна врата в паметта

В Windows системи атаката инициира PowerShell-базирана верига за изпълнение, която разполага междинен зареждащ файл с име PHANTOMPULL. Този зареждащ файл декриптира и стартира PHANTOMPULSE директно в паметта, избягвайки откриване на базата на диск.

PHANTOMPULSE използва базирана на блокчейн система за командване и контрол (C2), като отправя запитвания към мрежата на Ethereum. Тя извлича последната транзакция, свързана с твърдо кодиран адрес на портфейл, за да определи динамично своя C2 сървър. Комуникацията се осъществява чрез WinHTTP, което позволява извличане на данни, извличане на команди и отчитане на изпълнението.

Зловредният софтуер поддържа широк набор от възможности за дистанционно управление:

  • инжектиране: инжектира шелкод, DLL файлове или изпълними файлове в процеси
  • drop: записва и изпълнява файлове на диск
  • екранна снимка: заснема и качва данни от екрана
  • keylog: активира или деактивира регистрирането на натисканията на клавиши
  • деинсталиране: премахва механизмите за персистентност и почиства артефактите
  • elevate: ескалира привилегиите до SYSTEM, използвайки COM elevation
  • понижава нивото: намалява привилегиите от системно до администраторско ниво

Вариант на macOS: Обфускация и гъвкава C2 инфраструктура

В macOS атаката използва обфускиран AppleScript, доставен чрез същия механизъм на плъгина. Скриптът преминава през предварително определен списък с домейни и използва Telegram като резервен метод за откриване на C2. Този дизайн позволява бърза ротация на инфраструктурата, което прави традиционните стратегии за блокиране на домейни неефективни.

Последният етап включва извличане и изпълнение на вторичен полезен товар чрез osascript. Поради неактивни C2 сървъри по време на анализа обаче, пълните възможности на този полезен товар остават неопределени.

Резултат от атаката и стратегически последици

Наблюдаваното проникване в крайна сметка се оказа неуспешно, тъй като защитните мерки откриха и блокираха атаката, преди целите да бъдат постигнати. Въпреки това, REF6598 подчертава значителна еволюция в методологията на заплашителните актове.

Чрез експлоатиране на надеждни приложения и разчитане на промени в конфигурацията, управлявани от потребителя, злонамерените лица ефективно заобикалят конвенционалните контроли за сигурност. Този подход подчертава нарастваща тенденция: превръщането на легитимни софтуерни функции в оръжия като скрити канали за изпълнение, подчертавайки необходимостта от повишена осведоменост на потребителите и наблюдение на поведението в киберсигурността.

Тенденция

Mightytechy.com

Измамни уебсайтове, Похитители на браузъри, Потенциално нежелани програми
Защитата на устройствата от натрапчиви и ненадеждни приложения е критична част от поддържането на дигиталната сигурност. Потенциално нежеланите програми (PUP), особено тези, свързани с...

Panneyess.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Да бъдете предпазливи, докато сърфирате в интернет, е по-важно от всякога. Измамническите уебсайтове са създадени да експлоатират невниманието и доверието, като често използват подвеждащи техники,...

Измама Pushpaganda, задвижвана от изкуствен интелект

Спам
Изследователи по киберсигурност разкриха сложна кампания за рекламни измами с кодово име Pushpaganda, която комбинира отравяне на оптимизацията за търсачки (SEO) със съдържание, генерирано от изкуствен интелект. Тази операция е предназначена да манипулира платформите за откриване на съдържание, по-специално Google Discover, чрез популяризиране на подвеждащи новинарски истории, които изглеждат...

Най-гледан

Зареждане...