Исследователи в сфере безопасности выявили новую кампанию вредоносного ПО, которая похищает значительно более широкий и разнообразный набор файлов, чем обычно.
В своем отчете компания Barracuda отметила, что данный инфостилер отличается от других тем, что собирает больше данных. Помимо стандартной информации из браузера, таких как cookies, сохраненные пароли, данные кредитных карт, история загрузок и автозаполнение, вредоносное ПО также пытается собрать все файлы .PDF, найденные на рабочем столе, в папках «Загрузки», «Документы» и «Недавние» в %AppData% и %Temp%\Browser.
Также оно ворует любые связанные с криптовалютой расширения браузера, такие как MetaMask, BNB Chain Wallet, Coinbase Wallet и Ronin Wallet.
### Необычный инфостилер
Barracuda объяснила, как неизвестные злоумышленники запустили фишинговую кампанию, распространяя .ISO файл, маскируя его под заказ на покупку.
Все электронные письма отправляются с одного адреса — ‘yunkun[@]saadelbin[.]com’, который претендует на принадлежность к компании. Однако название компании и все контактные данные являются поддельными.
Если жертва все же запускает вложение, появляется файл HTA — HTML-приложение, использующее веб-технологии, но работающее на рабочем столе, а не в веб-браузере. Это позволяет вредоносному ПО обходить любые функции безопасности, встроенные в веб-браузеры, отмечают в Barracuda.
Этот файл HTA загружает и запускает зашифрованный файл JavaScript, который, в свою очередь, загружает и выполняет файл PowerShell. Файл PowerShell, в конечном итоге, загружает .ZIP файл, содержащий окончательный вредоносный скрипт на Python.
### Заключение
«Полученные данные являются обширными и чувствительными», — пояснили исследователи. «Украденные сохраненные пароли и cookies могут помочь злоумышленнику проникнуть дальше в организацию, тогда как данные кредитных карт и информация о биткоин-кошельках могут быть использованы для кражи денег».
Как обычно, лучший способ защититься от фишинговых атак — быть внимательными к поступающей почте и осторожными при скачивании и запуске вложений.
Источник: TechRadar
