Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакери користат лажни биографии за да украдат корпоративни креденцијали и да инсталираат крипто-рудар

Објавено: 25.03.2026

Тековна фишинг кампања ги таргетира корпоративните средини кои користат француски јазик, со лажни биографии што водат до инсталирање на рудари за криптовалути и алатки за кражба на податоци.

„Кампањата користи силно обфускирани VBScript датотеки маскирани како документи за биографија (CV), доставени преку фишинг е-пораки,“ изјавија истражувачите од Securonix, Шиха Сангван, Акшај Гајквад и Арон Бирдсли во извештај споделен со The Hacker News.

„Откако ќе се изврши, малверот инсталира мултифункционален пакет кој комбинира кражба на креденцијали, извлекување податоци и копање на криптовалутата Monero за максимална финансиска добивка.“

Активноста е кодно именувана како FAUX#ELEVATE од страна на компанијата за сајбер безбедност. Кампањата е значајна по злоупотребата на легитимни сервиси и инфраструктура, како што се Dropbox за складирање на payload-и, марокански WordPress сајтови за хостирање на конфигурација за command-and-control (C2), и mail[.]ru SMTP инфраструктура за испраќање на украдени податоци од прелистувачи и десктоп датотеки.

Ова е пример на напад од типот „living-off-the-land“, кој покажува како напаѓачите ги надминуваат одбранбените механизми и се инфилтрираат во системите без да привлечат многу внимание. Почетната датотека (dropper) е Visual Basic Script (VBScript) која при отворање прикажува лажна порака за грешка на француски јазик, убедувајќи ги корисниците дека датотеката е оштетена. Во позадина, обфускираниот скрипт извршува серија проверки за да избегне sandbox средини и влегува во постојан User Account Control (UAC) циклус што бара од корисникот да ја стартува со администраторски привилегии.

Интересно е што од вкупно 224.471 линии во скриптот, само 266 содржат вистински извршлив код. Остатокот се бескорисни коментари со случајни англиски реченици, со што големината на датотеката достигнува 9.7MB.

„Малверот користи и domain-join механизам преку WMI (Windows Management Instrumentation), со што се осигурува дека payload-ите се испорачуваат само на корпоративни машини, додека домашните компјутери се целосно исклучени,“ велат истражувачите.

Штом dropper-от добие администраторски привилегии, веднаш ги исклучува безбедносните механизми и ги прикрива трагите преку додавање на исклучоци во Microsoft Defender за сите главни дискови (од C до I), исклучување на UAC преку Windows Registry и самобришење.

Dropper-от исто така презема две заштитени 7-Zip архиви хостирани на Dropbox:

  • gmail2.7z – содржи извршни датотеки за кражба на податоци и копање криптовалути
  • gmail_ma.7z – содржи алатки за перзистентност и чистење

Меѓу алатките за кражба на креденцијали има компонента што го користи проектот ChromElevator за извлекување чувствителни податоци од Chromium-базирани прелистувачи, заобиколувајќи ја app-bound encryption (ABE) заштитата. Други алатки вклучуваат:

  • mozilla.vbs – VBScript малвер за кражба на профили и креденцијали од Mozilla Firefox
  • walls.vbs – VBScript за извлекување на датотеки од десктоп
  • mservice.exe – XMRig крипто-рудар кој се стартува по преземање на конфигурација од компромитиран WordPress сајт
  • WinRing0x64.sys – легитимен Windows kernel драјвер што се користи за максимално искористување на CPU за рударење
  • RuntimeHost.exe – перзистентен тројанец што ги менува правилата на Windows Firewall и периодично комуницира со C2 сервер

Податоците од прелистувачите се испраќаат преку две mail[.]ru е-пошта сметки („olga.aitsaid@mail.ru“ и „3pw5nd9neeyn@mail.ru“) со иста лозинка, преку SMTP, до друга адреса контролирана од напаѓачот („vladimirprolitovitch@duck.com“).

Откако ќе заврши кражбата и извлекувањето на податоци, нападот започнува агресивно чистење на сите алатки за да се намали форензичкиот траг, оставајќи зад себе само рударот и тројанските компоненти.

„FAUX#ELEVATE кампањата покажува добро организирана, повеќефазна операција која комбинира повеќе напредни техники во една инфекциска низа,“ велат од Securonix.

„Она што ја прави оваа кампања особено опасна за корпоративните безбедносни тимови е брзината – целата инфекција се извршува за околу 25 секунди од стартувањето на VBS до ексфилтрација на креденцијалите – како и селективното таргетирање на доменски машини, со што секоја компромитирана машина носи максимална вредност преку кражба на корпоративни податоци и долгорочно злоупотребување на ресурси.“

Извори:

  • The Hacker News – Hackers Use Fake Resumes to Steal Enterprise Credentials and Deploy Crypto Miner The Hacker News