Хакеры используют изображения для сокрытия вредоносного ПО, развертывания VIP-кейлоггера и кражи 0bj3ctivity

Согласно отчету об угрозах HP Wolf Security за третий квартал 2024 года, киберпреступники выводят свою скрытную тактику на новый уровень, внедряя вредоносный код в файлы изображений для доставки вредоносного ПО, такого как VIP Keylogger и 0bj3ctivity Stealer. Эти сложные кампании используют надежные платформы, такие как Archive.org, для распространения вредоносного ПО, обходя традиционные методы обнаружения.

Как работает атака: вредоносное ПО, скрытое в изображениях

Кампании начинаются с фишингового письма, призванного обмануть жертв и заставить их открыть вредоносные вложения . Эти письма часто имитируют счета-фактуры или заказы на закупку, чтобы повысить доверие. После открытия вложение запускает эксплойт для устаревшей уязвимости Microsoft Equation Editor ( CVE-2017-11882 ) для загрузки файла VBScript.

Цепь атаки

1. Фишинговое электронное письмо : жертвы получают обманное электронное письмо, содержащее вредоносные вложения.
2. Выполнение VBScript : загруженный VBScript запускает сценарий PowerShell.
3. Извлечение изображения : PowerShell загружает изображение с Archive.org.
4. Извлечение вредоносного кода : изображение содержит вредоносное ПО в кодировке Base64, которое извлекается и декодируется в исполняемый файл .NET.
5. Доставка полезной нагрузки : загрузчик .NET устанавливает окончательную вредоносную нагрузку.

В первой кампании эта полезная нагрузка — VIP Keylogger, инструмент, предназначенный для захвата нажатий клавиш, содержимого буфера обмена, снимков экрана и учетных данных. Во второй кампании полезная нагрузка — 0bj3ctivity Stealer, вредоносное ПО для кражи информации.

Наборы вредоносных программ снижают барьер для злоумышленников

Сходство между двумя кампаниями указывает на то, что киберпреступники используют наборы вредоносных программ. Эти наборы упрощают процесс атаки, сокращая технические знания, необходимые для выполнения сложных цепочек заражения. Эта тенденция отражает растущую коммерциализацию киберпреступности, когда готовые инструменты облегчают даже начинающим злоумышленникам развертывание вредоносного ПО.

Дополнительные используемые методы

HP Wolf Security также определила контрабанду HTML как дополнительную тактику. При этом методе злоумышленники доставляют вредоносное ПО, такое как XWorm RAT , используя дропперы AutoIt, скрытые во вредоносных HTML-файлах. Некоторые из этих файлов, как сообщается, были созданы с помощью инструментов GenAI, что демонстрирует, как искусственный интеллект используется для улучшения доставки вредоносного ПО и обфускации.

Кампании GitHub доставляют Lumma Stealer

Другая заслуживающая внимания кампания включала использование репозиториев GitHub, которые выдавали себя за источники читов и инструментов модификации видеоигр. Эти репозитории тайно распространяли вредоносное ПО Lumma Stealer через .NET-дропперы, что наглядно демонстрирует, как злоумышленники используют популярные платформы для атаки на ничего не подозревающих пользователей.

Почему атаки с использованием изображений представляют угрозу

Внедрение вредоносного ПО в изображения — это метод, известный как стеганография, который скрывает вредоносный код в, казалось бы, безобидных файлах. Этот метод обходит многие антивирусные системы, которые с меньшей вероятностью будут проверять файлы изображений. Использование доверенных хостинговых платформ, таких как Archive.org, еще больше усложняет усилия по обнаружению.

Стратегии смягчения последствий для организаций

Для защиты от этих постоянно меняющихся угроз организациям следует принять следующие меры:

1. Устранение известных уязвимостей : устранение уязвимостей устаревшего программного обеспечения, таких как CVE-2017-11882.
2. Включите функцию расширенного обнаружения угроз : используйте решения, способные обнаруживать стеганографию и подозрительное поведение файлов.
3. Обучайте сотрудников : Обучайте сотрудников распознавать фишинговые письма и избегать открытия неожиданных вложений.
4. Ограничьте доступ к доверенным источникам : ограничьте использование платформ обмена файлами одобренными доменами.

Растущая коммерциализация киберпреступности

По мере того, как наборы вредоносных программ становятся все более доступными, злоумышленники с любым уровнем навыков могут собирать эффективные цепочки заражения. Интеграция инструментов ИИ в создание вредоносных программ еще больше усложняет задачу для защитников кибербезопасности, делая атаки более разнообразными и более сложными для атрибуции.

Результаты исследования HP Wolf Security подчеркивают необходимость опережать эти развивающиеся угрозы. Принимая стратегии проактивной защиты и отслеживая новые тактики, организации могут лучше защитить свои сети от этих сложных кампаний.