Сегодня в ТОП-5 — новый бэкдор Windows BITSLOTH, фишинговая кампания OneDrive Pastejacking, кража одноразовых паролей 2FA (OTP) с Android-устройств, обзор вредоносного пакета zlibxjson версии 8.2, масштабная отправка поддельных писем от имени крупных брендов.
Новый бэкдор Windows BITSLOTH использует службу BITS
Исследователи Elastic Security Labs выявили новый бэкдор Windows, который использует фоновую интеллектуальную службу передачи (BITS) для получения команд C2-сервера. После первоначального доступа в инфраструктуру бэкдор BITSLOTH загружается в виде DLL-файла и вызывается запуском подписанного ПО создания музыки FL Studio. Последняя версия бэкдора имеет 35 функций обработчика, включая возможности кейлоггинга и захвата экрана. Кроме того, BITSLOTH содержит множество различных функций для обнаружения и сбора данных. Рекомендуется ознакомиться с индикаторами компрометации, представленными в отчете.
Фишинговая кампания нацелилась на пользователей Microsoft OneDrive
Специалисты Trellix сообщают о новой фишинговой кампании OneDrive Pastejacking, в которой злоумышленники заставляют пользователей выполнить скрипт PowerShell. Атака начинается с электронного письма c HTML-файлом, при открытии которого получателю демонстрируется страница OneDrive с сообщением об ошибке подключения к облаку. В сообщении говорится, что для устранения ошибки нужно вручную обновить кэш DNS. Пользователю предлагается выбрать один из двух вариантов: «Как исправить» и «Подробности». Нажатие на «Подробности» перенаправляет на страницу Microsoft Learn, тогда как «Как исправить» направляет пользователя выполнить ряд шагов: нажать комбинацию клавиш Windows + X, запустить PowerShell-терминал и вставить Base64-команду. Команда сначала запускает ipconfig /flushdns, затем создает папку C:\downloads, загружает и распаковывает архив, в конце выполняет script.a3x с помощью AutoIt3.exe. Компаниям стоит сохранять бдительность и обучать сотрудников борьбе с социальной инженерией.
Масштабная кампания по краже OTP-паролей с устройств Android
Вредоносная кампания, нацеленная на устройства Android, использует тысячи ботов Telegram для заражения устройств вредоносным ПО для кражи SMS, прежде всего одноразовых паролей 2FA (OTP) для более чем 600 сервисов. 107 тыс. образцов SMS Stealer было обнаружено в 113 странах, большинство в России и Индии. На первом этапе жертв убеждают загрузить ВПО с помощью рекламы и Telegram-ботов. После установки вредоносное ПО запрашивает разрешение на чтение SMS, используя его для эксфильтрации всех текстовых сообщений. Затем SMS Stealer устанавливает канал связи с C2-сервером для передачи краденых SMS-сообщений. Все IOC, имеющие отношение к этой кампании, можно найти в репозитории Zimperium на GitHub.
Новый пакет PyPI Zlibxjson крадет данные Discord и браузера
Специалисты Fortinet выпустили разбор вредоносного пакета zlibxjson версии 8.2, обнаруженного в репозитории кода Python PyPl. Среди тайно загружаемых пакетом файлов оказались особенно интересными три скрипта. Discord_token_grabber.py извлекает токены Discord, позволяя получать злоумышленнику доступ к учетной записи без авторизации. Скрипт get_cookies.py крадет cookie-файлы браузеров Chrome, Firefox, Brave и Opera. Password_grabber.py нацелен на извлечение и расшифровку сохраненных паролей из Google Chrome и Microsoft Edge. Рекомендуем ознакомиться с индикаторами компрометации, представленными в отчете.
Уязвимость Proofpoint использовалась для отправки миллионов фишинговых писем
Масштабная фишинговая кампания EchoSpoofing использовала уязвимости в сервисе защиты электронной почты Proofpoint для отправки миллионов поддельных писем от имени крупных брендов. Фишинговые письма предназначались для кражи конфиденциальной информации и проведения несанкционированных платежей. Эти письма передавались с официальных ретрансляторов электронной почты Proofpoint с аутентифицированными подписями SPF и DKIM, тем самым обходя основные средства защиты. Специалисты Proofpoint опубликовали новые настройки и рекомендации для предотвращения подобного в будущем.