Исходный код игры «Сапер», переписанный на Python, используется как «прикрытие» для остального кода. Хакеры в основном используют законные инструменты в незаконных целях.

«Сапер» как маскировка

Группа хакеров атакует европейские и американские финансовые учреждения, используя троянский клон знаменитой Windows-игры Minesweeper.

Атаки начинаются с фишингового письма с адреса [email protected], имитирующего сообщение из медицинского учреждения. В заголовке указано, что это архив медицинских записей получателя сообщения.

Жертве предлагается загрузить файл SRC (расширение исходного кода) размером 33 МБ из Dropbox. Сам файл содержит безобидный код клона игры «Сапёр» на Python, а также вредоносный код (тоже написанный на Python), загружающий дополнительные скрипты из удалённого источника (anotepad.com).

Клон трояна Minesweeper используется хакерами для атак на организации в США и Великобритании.

Код «Сапера» служит маскировкой для 28-мегабайтного однострочного кода, зашифрованного с использованием алгоритма base64; Это очевидная попытка скрыть вредоносный контент от анализа средствами безопасности.

Реальный игровой контент

Код игры содержит функцию create_license_ver, которая используется для декодирования и запуска скрытого вредоносного ПО. Таким образом, отмечает Bleeping Computer, легитимные программные компоненты используются как для маскировки, так и для проведения атак.

Обычно строка в кодировке Base64 после расшифровки преобразуется в ZIP-файл, содержащий установщик (в формате MSI) программы SuperOps RMM, который также является законным по своей природе.

Это инструмент удаленного доступа, который формально не является вредоносным ПО, но в данном случае предоставляет злоумышленникам удаленный доступ к атакуемой системе.

«Использование законных инструментов в незаконных целях является обычной практикой и с некоторым успехом используется для обеспечения секретности», — говорит Анастасия Мельникова, руководитель отдела информационной безопасности SEQ. По ее словам, чаще всего атаки с использованием инструментов LOTL, то есть легитимных программ и утилит, оказываются успешными и обнаруживаются постфактум. «Видимо, маскировка «Сапера» тоже сработала, хотя разница между заголовком фишингового письма и содержимым прикрепленного архива уже должна была обеспокоить получателей», — заключила Анастасия Мельникова.

ЧИТАТЬ   В 2023 году граждане отправили на переработку и утилизацию более 853 тонн вторсырья.

Что он сделал

На данный момент жертвами этой фишинговой кампании названы «по крайней мере пять» организаций в Европе и США.

Дмитрий Баранов, ОС «Инферит»: Мы предлагаем альтернативу зарубежным операционным системам Enterprise Linux

Импортная независимость

Его авторами в кибербезопасной прессе называют российскую «хактивистскую» группу FromrussiaWithLove, которая ранее была замечена в использовании похитителя информации Vidar и программы-вымогателя Somnia. Однако второй метод они используют больше для безвозвратного удаления данных, чем для вымогательства и финансовой выгоды.

Организациям, которые не используют SuperOps RMM централизованно, рекомендуется рассматривать наличие этой программы в своих системах как индикатор компрометации.

Ромен Георгиев

Source

От admin