Сегодня в ТОП-5 —  злоумышленники используют GitHub для распространения фальшивых обновлений VS Code, многокомпонентная кампания с загрузчиком PhantomVAI, Torg Grabber: Эволюция нового инфостилера от Telegram до REST API C2, Kiss Loader: WebDAV, Python и Early Bird APC в одной цепочке заражения, конструктор приложений Bubble AI используется для фишинга.

1. Злоумышленники используют GitHub для распространения фальшивых обновлений VS Code

Исследователи Socket.dev выявили новую вредоносную кампанию, использующую GitHub Discussions для распространения вредоносного ПО. Злоумышленники публикуют обсуждения с заголовками о необходимости срочного обновления Visual Studio Code, ссылаясь на ложные критические уязвимости CVE. В этом же посте предлагается скачать исправленную версию по внешним ссылкам. Атака начинается с перехода по URL-адресу в домене share.google, который перенаправляет активных пользователей на фишинговый сайт drnatashachinn[.]com. Страница содержит скрипт, который собирает информацию о браузере пользователя перед загрузкой вредоносного payload. Для защиты рекомендуется не переходить по сторонним ссылкам для обновления ПО.

2. Многокомпонентная кампания с загрузчиком PhantomVAI

Специалисты LevelBlue SpiderLabs выявили многоступенчатую кампанию по доставке вредоносного ПО после обнаружения файла Name_File.vbs. Анализ показал, что загрузчик использует Unicode-обфускацию. PowerShell извлекал PNG с легитимного хостинга Internet Archive, в который внедрили Base64-кодированную .NET-сборку PhantomVAI. Она загружалась в память методом Reflection.Assembly::Load, после чего загрузчик декодировал параметры, ведущие к Remcos RAT и DLL, для обхода UAC. Инфраструктура домена news4me[.]xyz включала открытые директории с обфусцированными VBS-файлами под разные RAT. Альтернативный вектор в /invoice/ использовал ZIP с ярлыком-обманкой, который перенаправлял на TryCloudflare для загрузки пакетного файла 44rrr.bat. Комбинация VBS, PowerShell, .NET и Python в одной цепочке сохраняет работоспособность атаки при блокировке отдельных компонентов. Для защиты рекомендуется ограничить запуск скриптов.vbs и .bat.

3. Torg Grabber: Эволюция нового инфостилера от Telegram до REST API C2

Анализ двоичного файла, ошибочно классифицируемого как Vidar, позволил исследователям Gen Digital выявить новый инфостилер Torg Grabber. За три месяца вредонос прошел несколько этапов развития: от ПО, собирающего учетные данные и пересылающего их в закрытый Telegram-канал, до полноценного REST API C2 через HTTPS. Многоступенчатая цепочка загрузки использует дропперы, которые скачивают загрузчики и передают конфигурации пользователей через переменные окружения. Самораспаковывающийся загрузчик выполняет декодирование и внедряет шелл-код. Torg Grabber осуществляет сбор данных из браузеров, криптовалютных кошельков, а также извлекает данные из 850 расширений. Ключевая особенность Torg Grabber — использование модели MaaS, по которой разработчик предоставляет вредоносный файл, а операторы корректируют его под свои задачи.

4. Kiss Loader: WebDAV, Python и Early Bird APC в одной цепочке заражения

Исследователи G DATA Software выявили загрузчик Kiss Loader, использующий многоступенчатую цепочку заражения. Процесс начинается с файла Windows Internet Shortcut, который инициирует подключение к WebDAV-ресурсу через туннель TryCloudflare. WebDAV содержит дополнительный ярлык, при активации которого запускается скрипт WSH, запускающий компонент JScript. Последующее выполнение JScript загружает пакетный файл для отображения PDF-приманки, закрепления через автозагрузку и загрузки архива. Извлеченный из архива Python-загрузчик «Kiss Loader» расшифровывает полезные нагрузки с использованием ключей из JSON-файлов. Завершающий этап характеризуется инъекцией кода в explorer.exe через технику Early Bird APC. Для защиты рекомендуется проверять трафик WebDAV и отключить автоматическое выполнение файлов .url.

5. Конструктор приложений Bubble AI используется для фишинга

Специалисты «Лаборатории Касперского» выявили новую тактику злоумышленников, которые адаптировали AI-платформу Bubble для создания фишинговых веб-приложений. Сгенерированные на платформе сайты размещаются на легитимных серверах платформы по адресам вида %name%.bubble.io, что позволяет обходить почтовые фильтры. Технической особенностью является использование массивного JavaScript-кода с изолированными структурами Shadow DOM, генерируемого nocode-конструктором, что затрудняет автоматический анализ и классификацию страницы как вредоносной. Вместо прямой доставки фишингового контента Bubble-приложение выполняет функцию промежуточного редиректора, перенаправляя жертву на финальную страницу сбора учетных данных. Код Bubble-приложения не содержит явных признаков вредоносной активности, что делает его практически неотличимым от легитимных сайтов. Эффективная защита требует обучения сотрудников и использования шлюзовых продуктов с расширенными антифишинговыми технологиями.