Исследователи сообщают, что злоумышленники прячут вредоносное ПО в изображениях, размещенных на авторитетных веб-сайтах.
По данным экспертов, хакеры используют изображения на популярных ресурсах для сокрытия вредоносного ПО и компрометации как можно большего числа компьютеров.
Согласно новому отчету о киберугрозах от HP Wolf Security, основанному на данных миллионов конечных устройств, активно распространяются такие вредоносные программы, как VIP Keylogger и 0bj3ctivityStealer. Поскольку в обоих случаях используются одинаковые техники и загрузчики, исследователи предполагают, что две различные группы используют одни и те же наборы программ для распространения различных вредоносных приложений.
В обеих кампаниях зловредный код скрывался в изображениях на таких файловых хостингах, как archive.org, и применялся один и тот же загрузчик для установки конечного вредоносного ПО. Такие методы помогают обойти системы безопасности, так как файлы изображений выглядят безобидно при загрузке с известных сайтов и не вызывают подозрения у прокси-серверов, полагающихся на репутацию.
Начинается атака с фишингового письма, маскирующегося под счет или заказ на поставку. В приложении обычно содержится документ Excel, эксплуатирующий уязвимость CVE-2017-11882 в редакторе уравнений для загрузки VBScript-файла.
Алекс Холланд, главный исследователь угроз в HP Security Lab, отметил, что фишинговые наборы в сочетании с инструментами генеративного ИИ значительно снизили порог входа для преступников, что усугубляет постоянную опасность вредоносного ПО. Это позволяет группам сосредоточиться на обмане своих целей и выборе наиболее подходящих вредоносных программ, например, нацеливаясь на игроков, используя репозитории с читами.
Исследователи также обнаружили кампанию с использованием удаленного доступа XWorm RAT, начатую с помощью HTML-смогглинга, которая содержала код, загружающий и запускающий вредоносное ПО. Было очевидно, что загрузчик написан ИИ, поскольку он содержал построчное описание и дизайн HTML-страницы.
Оба VIP Keylogger и 0bj3ctivityStealer являются инфостилерами, которые записывают и передают чувствительную информацию, такую как пароли, данные криптовалютных кошельков, конфиденциальные файлы и многое другое.
Источник: TechRadar
