Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

В марте этого года мы описывали вредоносную кампанию c применением зловреда PhantomPyramid, которую мы с высокой степенью вероятности приписываем группе Head Mare. Отличительной особенностью этой кампании было использование техники polyglot, суть которой сводится к тому, что злоумышленники используют файлы, которые при разных условиях интерпретируются системой по-разному. Продолжая отслеживать активность этой группы, мы на протяжении августа регистрировали новую волну целевых рассылок того же трояна PhantomPyramid с новыми документами в качестве приманки и со все той же техникой polyglot.

Как Head Mare доставляет PhantomPyramid жертвам

Атака начинается с вредоносной рассылки, в ходе которой на адрес компании приходят письма с ZIP-архивами во вложении. На самом деле это polyglot-файл, который одновременно является и архивом, и исполняемым контейнером для Python-скрипта. Пользователь открывает его как обычный ZIP-файл и видит внутри текстовый документ в формате .docx. Хотя в реальности это вовсе не документ, а ярлык Windows, клик по которому приводит к заражению трояном PhantomPyramid. Достигается это за счет использования двойного расширения .docx.lnk, просто при просмотре содержимого архива видно только первое расширение.

Содержимое вредоносного архива

Содержимое вредоносного архива — тип файла показывается как ярлык (shortcut)

Если у пользователя содержимое папок и архивов отображается в деталях, то заметить, что настоящий тип файла — это ярлык, достаточно несложно. Однако многие пользователи предпочитают просматривать файлы в виде краткого списка или как иконки и не видят этого поля. Ярлык не только запускает процесс заражения, но и открывает файл-приманку.

Впрочем, по всей видимости, почта — не единственный вариант заражения, используемый Head Mare в этой кампании. Как минимум в одной из попыток заражения вредоносный архив предположительно был скачан на компьютер жертвы через Telegram.

 

View the full article

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Искусственный интеллект открывает не только новые возможности, но и новые угрозы. С помощью генеративного ИИ злоумышленники создают дипфейки и поддельные сайты, рассылают спам и даже притворяются родственниками и друзьями. Сегодня расскажем, как нейросети используют для мошенничества и фишинга, — и конечно же, поделимся советами о том, как обезопасить себя. Ну а подробный разбор фишинговых схем с использованием ИИ вы найдете на Securelist.
      Pig Butchering, кетфишинг и дипфейки
      ИИ-боты, притворяющиеся живыми людьми, активно используются злоумышленниками в романтических переписках — мошенники создают выдуманных персонажей и с их использованием одновременно общаются со множеством жертв, устанавливая с ними тесную эмоциональную связь. Подобная переписка может длиться неделями и даже месяцами, постепенно переходя от легкого флирта к обсуждению «выгодных инвестиционных схем», и заканчивается, разумеется, после того, как жертва вложит свои средства в мошеннические проекты. За счет длительного личного общения любые подозрения, которые могли возникнуть у жертвы, понемногу рассеиваются. Подобные схемы называются Pig Butchering, и мы уже подробно описывали их ранее, но если ранее они реализовывались за счет гигантских мошеннических ферм в Юго-Восточной Азии, на которых «работали» тысячи человек, то теперь для подобных разводок все чаще используется ИИ.
      , при котором скамеры создают поддельную личность или притворяются другим реальным человеком, с развитием нейросетей значительно упростился. Современные генеративные нейросети способны достаточно точно сымитировать чью-то внешность, голос и стиль письма. Злоумышленнику достаточно собрать публично доступную информацию о том или ином человеке, а затем «скормить» эти данные ИИ. Пригодится все: фото и видео, публичные посты и комментарии, информация о родственниках, хобби, возрасте и так далее.
      Поэтому, если к вам обращается родственник или друг, который почему-то пишет с нового аккаунта и, например, просит у вас денег в долг, — скорее всего, это вовсе не родственник и уж точно не друг. В подобном случае лучшее решение — связаться с реальным человеком по другому каналу, например по телефону, и спросить у него напрямую, все ли в порядке. Не повредит также задать несколько личных вопросов, ответы на которые злоумышленник не сможет найти в открытых источниках и даже в переписке.
      Но правдоподобная имитация другого человека в переписке — лишь часть проблемы: есть ведь еще и аудио- и видеодипфейки. Недавно мы рассказывали, как скамеры распространяют дипфейки популярных блогеров и криптоинвесторов в соцсетях: «знаменитости» приглашают подписчиков на персональные консультации, в «эксклюзивные» инвестиционные чаты, разыгрывают денежные призы и дорогие подарки.
      В самом деле, почему бы Дженнифер Энистон не разыграть MacBook?
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      В нашем блоге мы уже не раз рассказывали об уязвимостях в необычных гаджетах, будь то умные матрасы, роботы-пылесосы, аудиокнопки светофоров, детские игрушки, кормушки для животных и даже велосипеды. Но случай, о котором пойдет речь сегодня, пожалуй, один из самых экзотических. Не так давно исследователи кибербезопасности обнаружили две серьезнейшие уязвимости в приложениях для удаленного управления… секс-игрушками компании Lovense.
      В этой истории прекрасно все: природа уязвимых гаджетов, намерение компании-производителя потратить 14 месяцев (!) на устранение проблем, а также скандальные подробности, раскрывшиеся после публикации исследователями доклада о дырах в открытом доступе. Не будем тянуть и перейдем к описанию этой фантастической в своей абсурдности ситуации.
      Что входит в онлайн-инфраструктуру Lovense
      Первый факт, придающий этой истории необычность, в том, что производитель интимных игрушек Lovense ориентирован как на пары, находящиеся в отношениях на расстоянии, так и на моделей, работающих на стриминговых платформах в популярном жанре вебкам.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Команда исследователей из Швейцарской высшей технической школы в Цюрихе опубликовала научную работу, в которой показала, как можно совершить так называемый «побег из песочницы» при помощи атаки типа Spectre v2 в виртуальной среде. Имея доступ только к изолированной виртуальной машине, они смогли похитить ценные данные, которые в норме доступны только администратору сервера. Атака возможна на серверах, построенных на базе процессоров AMD, включая новейшие модели с архитектурой Zen 5, а также на процессорах Intel поколения Coffee Lake.
      Опасность атак типа Spectre для виртуальных сред
      Мы регулярно пишем о процессорных уязвимостях, связанных со спекулятивным выполнением инструкций, в которых штатные особенности «железа» используются для похищения секретов. Предыдущие публикации на эту тему, в которых подробно описывается общий принцип для таких атак, можно прочитать здесь, здесь и здесь.
      Впервые уязвимости такого типа были выявлены в 2018 году, и с тех пор исследователям ни разу не удалось показать сколько-нибудь реалистичную атаку с их использованием. Все работы сводились к идее, что в теории некая сложная таргетированная атака класса Spectre возможна. Более того, в большинстве научных работ на эту тему исследователи ограничивались простейшим сценарием атаки: берем компьютер, устанавливаем на него вредоносную программу и похищаем секреты с применением аппаратных особенностей процессора. Несостоятельность такого подхода заключается в том, что если уж кому-то удастся установить на ПК вредоносное ПО, то он сможет похитить данные тысячей других, куда более простых, способов. Из-за этого Spectre и подобные атаки вряд ли когда-то будут угрожать конечным устройствам. Однако, когда речь идет об облачных средах, списывать Spectre со счетов не стоит.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Опытным геймерам хорошо известно об угрозах, связанных с установкой игр, модов, скинов и другого геймерского ПО из неофициальных ресурсов. Однако источниками заражения могут быть и те платформы, которым пользователи привыкли доверять, — сайты разработчиков и официальные магазины.
      В нашем посте мы разберем несколько случаев, когда злоумышленники распространяли вредоносное ПО через официальные геймерские ресурсы. В конце расскажем, как защитить свою систему, лут и аккаунт — и спокойно играть, не опасаясь встретиться с неожиданными сюрпризами даже на привычных платформах.
      Зараженная утилита для настройки мыши Endgame Gear
      В июле 2025 года производитель продвинутых мышей, ориентированных на киберспортсменов и опытных геймеров, Endgame Gear сообщил о вредоносном ПО, которым была заражена утилита для настройки мыши OP1w 4k v2. Этот троян находился на официальном сайте компании почти две недели — с 26 июня по 9 июля 2025 года.
      На официальной странице игровой мыши модели Endgame Gear OP1w 4k v2 распространялась утилита настройки, зараженная вредоносным ПО. Источник
      Таким образом, пользователи, загрузившие в этот период утилиту с официальной страницы модели, получали вместе с ней вредоносное ПО. В Endgame Gear не уточнили, какая именно вредоносная нагрузка была в зараженной версии утилиты, но, судя по данным пользовательских сканирований, это был бэкдор семейства XRed.
      XRed обладает широким набором возможностей для удаленного управления зараженной системой. Он имеет функцию кейлоггера, а также позволяет злоумышленнику получать доступ к командной строке, делать скриншоты, просматривать содержимое дисков и папок, загружать и удалять файлы. Кроме того, зловред может скачивать дополнительные модули и передавать собранные данные о системе на удаленные серверы.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Вечером 15 сентября началась новая атака на популярнейший реестр JavaScript-компонентов, npm. Ряд пакетов, некоторые из которых имеют миллионы еженедельных загрузок, были заражены вредоносным кодом, крадущим токены и ключи аутентификации. Его самая интересная особенность – он способен распространяться автоматически, заражая другие доступные пакеты. Среди зараженных пакетов отметим популярный @ctrl/tinycolor. По данным Aikido Security были скомпрометированы почти 150 пакетов, включая пакеты Crowdstrike.
      Методика распространения и алгоритм работы
      Способ первого заражения и «нулевой пациент» на сегодня неизвестны. Поскольку «почерк» атаки очень похож на недавний инцидент s1ngularity, возможно, это тоже был фишинг. Но дальнейшая цепочка заражения такова:
      Вредоносный код добавляется в скомпрометированные пакеты в виде постинсталляционного скрипта, сохраненного в файле bundle.js. Когда жертва устанавливает себе зараженный пакет, скрипт начинает свою работу. В отличие от прошлого инцидента, скрипт кроссплатформенный и работает как в *nix-средах, так и под Windows. Скрипт скачивает подходящую для платформы версию TruffleHog, легитимного инструмента поиска секретов. TruffleHog находит в локальных файловых системах и доступных репозиториях строки с высокой энтропией. Это криптографические ключи, API-токены и другая подобная информация. Кроме поиска через TruffleHog, скрипт проверяет полезные токены, анализируя переменные окружения, например GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID и AWS_SECRET_ACCESS_KEY. Затем он проверяет, действительны ли они, запросами к API-узлам npm whoami и GitHub user. Затем скрипт компрометирует пакеты npm, к которым у атакованного пользователя есть доступ на публикацию. Для этого он скачивает для заражаемого пакета его текущую версию из npm, увеличивает подверсию на 1, добавляет ссылку на постинсталляционный сценарий (postinstall hook) и записывает свою копию в файл bundle.js. Троянизированный таким образом пакет «новой версии» публикуется в npm. Репозитории жертвы помечаются как публичные, что иногда является отдельной, более важной утечкой.  
      View the full article
×
×
  • Создать...