Новости Растут заражения через поддельные обновления браузера

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.785
Репутация
62.290
Реакции
276.911
RUB
0
Последние исследования в области кибербезопасности показывают рост числа киберпреступников, маскирующих вредоносные загрузки под фальшивые обновления .

Исследователи из Proofpoint обратили внимание на усиление тактики, вдохновившись успехами вредоносного ПО SocGholish, которое используется уже более 5 лет. За последние 5 месяцев было выявлено 3 крупных кампании, применяющие подобные методы, но с различными полезными нагрузками.

Существует опасение, что, несмотря на то что сейчас распространяется только вредоносное ПО, кампании могут стать отличной возможностью для брокеров начального доступа (Initial Access Brokers, ) предоставить эффективный способ заражения конечных пользователей вымогательским ПО.

SocGholish – это старейшая из кампаний, использующих поддельные уведомления об обновлении браузера. Кампанию обычно приписывают группировке TA569. В августе стало известно, что SocGholish способствовал доставке вредоносного ПО в 27% заражений. SocGholish входил в тройку лидеров среди загрузчиков вредоносного ПО, которые в совокупности составляли 80% всех атак.


Типичная приманка поддельного обновления браузера кампании SocGholish​



  • RogueRaticate (FakeSG), была обнаружена в мае 2023 года, но её активность, предположительно, началась еще в ноябре 2022 года. Это первая крупная кампания по поддельному обновлению браузера после SocGholish.
  • ZPHP (SmartApeSG), обнаруженная в июне. Подобно RogueRaticate, ZPHP чаще всего приводит к установке RAT-трояна NetSupport на компьютер жертвы.
  • ClearFake, обнаруженная в июле. Proofpoint охарактеризовал ClearFake как кампанию, которая доставляет инфостилеры и адаптирует приманки не только к браузеру пользователя, но и к его языку, расширяя круг целей.



Все кампании различаются в способе доставки вредоносного ПО, но следуют трехэтапной структуре, адаптируя свои уведомления в зависимости от машины и браузера пользователя. На первом этапе скомпрометированный сайт заражается вредоносным кодом. На втором этапе происходит взаимодействие между вредоносным сайтом и пользователем. На третьем этапе происходит окончательная доставка вредоносного ПО.

Операторы SocGholish разработали три различных метода перехода от первого этапа (заражение законного сайта вредоносным кодом) ко второму этапу (перехват трафика между атакующим и пользователем).

Два из этих методов включают в себя использование разных систем распределения трафика (Traffic Distribution Systems, TDS), которые позволяют автоматически перенаправлять трафик от зараженных сайтов к доменам злоумышленника. Третий метод использует асинхронный запрос JavaScript для перенаправления трафика к домену, где расположен вредоносный код. Такой метод особенно эффективен, так как позволяет быстро и незаметно для пользователя перенаправлять его на вредоносный ресурс.

С другой стороны, кампании RogueRaticate и ClearFake применяют более прямой подход. Они используют TDS только на втором этапе атаки. Вместо использования сложных механизмов перенаправления, кампании полагаются на прямое взаимодействие с пользователем через зараженные рекламные блоки или сообщения о необходимости обновления браузера.

Таким образом, несмотря на общую цель – заразить устройства пользователей вредоносным ПО – различные киберпреступные группировки применяют уникальные и разнообразные методы для достижения своих целей.









 
Сверху Снизу