Киберпреступники придумали новую приманку

25
Российские государственные хакеры используют новое вредоносное ПО TinyTurla как вторичный бэкдор

Киберпреступники, стоящие за вредоносным ПО BazaLoader, придумали новую приманку, чтобы обманом заставить владельцев веб-сайтов открывать вредоносные файлы: поддельные уведомления о том, что сайт участвует в распределенных атаках типа «отказ в обслуживании» (DDoS).

Сообщения содержат юридическую угрозу и файл, хранящийся в папке Google Диска, который якобы предоставляет доказательства источника атаки.

Поддельные юридические угрозы

Тема DDoS – это разновидность другой приманки, жалобы о нарушении Закона о защите авторских прав в цифровую эпоху (DMCA) со ссылкой на файл, который предположительно содержит доказательства кражи изображений.

В сообщениях, которые видел BleepingComputer, злоумышленник использовал URL-адреса Firebase для загрузки BazaLoader. Однако цель та же: используйте контактные формы для доставки вредоносного ПО BazaLoader, которое часто сбрасывает Cobalt Strike, что может привести к краже данных или атаке программы-вымогателя.

Microsoft предупредила об этом способе доставки в апреле, когда киберпреступники использовали его для доставки вредоносного ПО IcedID. Недавние кампании похожи, только изменились грузоподъемность и приманка.

Разработчик и дизайнер веб-сайтов Брайан Джонсон на прошлой неделе сообщил, что два его клиента получают официальные уведомления о взломе их веб-сайтов с целью проведения DDoS-атак против крупной компании (Intuit, Hubspot).

Отправитель пригрозил судебным иском, если получатели не «немедленно очистят» свой веб-сайт от вредоносных файлов, которые помогли развернуть DDoS-атаку.

«Я поделился файлом журнала с записанными доказательствами того, что атака исходит от [example.com], а также подробными инструкциями по безопасному обращению, поиску и очистке всех вредоносных файлов вручную, чтобы устранить угрозу для нашей сети. , »- говорится в фальшивом уведомлении.

Злоумышленник также включил ссылку на файл, размещенный на Google Диске, якобы предоставляющий доказательства DDoS-атаки и ее происхождения.

Привет, Это сообщение было написано вам, чтобы уведомить вас о том, что в настоящее время мы испытываем серьезные проблемы с сетью, и мы обнаружили DDoS-атаку на наши серверы, исходящую с вашего веб-сайта или веб-сайта, который размещается вашей компанией (example.com). Как следствие, мы несем финансовые и репутационные потери. У нас есть веские доказательства и уверенность в том, что ваш сайт был взломан и файлы вашего сайта были изменены, с помощью которых в настоящее время происходит DDoS-атака. Вам как владельцу веб-сайта или лицу, связанному с этим веб-сайтом, настоятельно рекомендуется принять немедленные меры для решения этой проблемы. Чтобы решить эту проблему, вам следует немедленно очистить свой сайт от вредоносных файлов, которые используются для проведения DDoS-атаки. Я поделился файлом журнала с записанными доказательствами того, что атака исходит с example.com, а также подробными инструкциями по безопасному обращению, поиску и очистке всех вредоносных файлов вручную, чтобы устранить угрозу для нашей сети. Щелкните ссылку ниже, чтобы загрузить доказательства DDos-атаки, и следуйте инструкциям по устранению проблемы: https://drive.google.com/uc?export=download&id=removed Имейте в виду, что невыполнение приведенных выше инструкций или / и если DDoS-атаки, связанные с example.com, не прекратятся в течение следующих 24 часов после получения этого сообщения, мы будем иметь право требовать юридических действий для решения этой проблемы. Если вы столкнетесь с какими-либо трудностями при попытке решить проблему, немедленно ответьте, указав свой личный номер обращения (указанный в отчете журнала и инструкциях, упомянутых выше), и я сделаю все возможное, чтобы помочь вам решить эту проблему как можно скорее. Остин Нгуен intuit.com Команда ИТ-безопасности

Исследователь безопасности Proofpoint Мэтью Меса отмечает в своем твите, что эти сообщения отправляются через контактную форму веб-сайта и доставляют вредоносное ПО BazaLoader, размещенное на сайте Google.

Исследователь также говорит, что приманка является разновидностью темы нарушения авторских прав, также представленной через контактную форму веб-сайта.

BleepingComputer получил несколько таких уведомлений о нарушениях за последние несколько месяцев с обвинениями в использовании защищенных изображений без согласия владельца.

В сообщении содержится ссылка на файл, в котором якобы перечислены изображения, использованные без разрешения. Данные хранятся в облачном хранилище Google Firebase.

Чтобы дело выглядело срочным, отправитель также заявляет, что владелец веб-сайта «возможно, несет ответственность за установленный законом ущерб в размере до 120 000 долларов». Однако это все уловка для распространения вредоносного ПО.

Меня зовут Маркель. Ваш веб-сайт или веб-сайт, который размещает ваша организация, нарушает права на изображения, защищенные авторским правом, принадлежащие мне. Ознакомьтесь с этим документом с URL-адресами моих изображений, которые вы использовали на www.bleepingcomputer.com, и с моей предыдущей публикацией, чтобы получить доказательство моих авторских прав. Скачайте прямо сейчас и убедитесь в этом сами: https://firebasestorage.googleapis.com/v0/b/files-d6e6c.appspot.com/o/download-dlm39vbk30.html?alt=media&token=d0b122e7-49bb-4c04-9b26-d2364ca615f2&ID=3814066778 Я действительно думаю, что вы намеренно нарушили мои законные права в соответствии с 17 USC Sec. 101 и след. и, возможно, может нести ответственность за установленный законом ущерб в размере до 120 000 долларов, как указано в Разделе 504 (c) (2) Закона об авторском праве в цифровую эпоху («DMCA»). Это сообщение является официальным уведомлением. Я требую удалить материалы, нарушающие авторские права, указанные выше. Обратите внимание, как поставщик услуг Закон об авторском праве в цифровую эпоху требует от вас удаления и отключения доступа к материалам, нарушающим авторские права, после получения этого конкретного письма. Если вы не остановите использование ранее упомянутых материалов, защищенных авторским правом, против вас, скорее всего, будет возбуждено судебное дело. У меня есть твердое убеждение, что использование материалов, защищенных авторским правом, упомянутых выше как предположительно нарушающих, запрещено правообладателем, его агентом или законами. Я клянусь под страхом наказания за лжесвидетельство, что информация в этом сообщении верна и что я являюсь законным владельцем авторских прав или имею право действовать от имени владельца исключительного права, которое предположительно нарушено. С наилучшими пожеланиями, Маркель Лоу 17.08.2021

Аналитик вредоносного ПО Брэд Дункан изучил файл и обнаружил, что это был ZIP-архив с JavaScript, который извлекает библиотеку BazaLoader DLL, бэкдор, приписываемый банде TrickBot, который обычно приводит к заражению вымогателями.

Затем вредоносная программа достигает своего сервера управления и контроля (C2) и получает Cobalt Strike, инструмент тестирования на проникновение, которым киберпреступники часто злоупотребляют для поддержания устойчивости и доставки других полезных данных.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here