MKD-CIRT National Centre for Computer Incident Response
„Овој инцидент е дел од поголема кампања за погрешно рекламирање што цели на други услужни услуги како Notepad++, Citrix и VNC Viewer како што се гледа во неговата инфраструктура (имиња на домени) и шаблони за прикривање што се користат за да се избегне откривање“, рече Jérôme Segura од Malwarebytes .
Иако е познато дека кампањите за погрешно рекламирање поставуваат копии на сајтови кои рекламираат широко користен софтвер, најновата активност означува отстапување во тоа што веб-локацијата имитира WindowsReport[.]com.
Целта е да се измамат доверливите корисници кои бараат CPU-Z на пребарувачите како Google со сервирање малициозни реклами кои, кога ќе се кликнат, ги пренасочуваат на лажниот портал (работен простор-апликација[.]онлајн).
Во исто време, на корисниците кои не се наменети за жртви на кампањата им се сервира безопасен блог со различни написи, техника позната како прикривање.
Потпишаниот инсталатер на MSI што е хостиран на непријателската веб-локација содржи злонамерна PowerShell скрипта, натоварувач познат како FakeBat (познат како EugenLoader), кој служи како канал за распоредување на RedLine Stealer на компромитиран домаќин.
„Можно е актерот за закана да избрал да создаде сајт за мамка што личи на Windows Report бидејќи многу софтверски алатки често се преземаат од такви портали наместо од нивната официјална веб-страница“, забележа Сегура.
Ова е далеку од првпат измамничките реклами на Google за популарниот софтвер да се покажат како вектор за дистрибуција на малициозен софтвер. Минатата недела, фирмата за сајбер безбедност eSentire откри детали за ажурираната кампања на Nitrogen што го отвора патот за напад на BlackCat откуп.
Две други кампањи документирани од канадската компанија за сајбер-безбедност покажуваат дека методот на преземање по возење за насочување на корисниците кон сомнителни веб-локации е искористен за пропагирање на различни семејства на малициозен софтвер како NetWire RAT , DarkGate и DanaBot во последниве месеци.
Развојот доаѓа бидејќи актерите за закана продолжуваат сè повеќе да се потпираат на комплетите за фишинг на противникот во средината ( AiTM ), како што се NakedPages , Strox и DadSec , за да ја заобиколат автентикацијата со повеќе фактори и да ги киднапираат насочените сметки.
Како врв на сè, eSentire, исто така, го привлече вниманието на новиот метод наречен напад на Wiki-Slack, напад насочен кон корисникот кој има за цел да ги приведе жртвите до веб-локација контролирана од напаѓачот со обезличување на крајот на првиот став од статијата на Википедија и споделување тоа на Slack.
Поточно, тој ја искористува чудноста во Slack што „погрешно се справува со празното место помеѓу првиот и вториот пасус“ за автоматско генерирање на врска кога URL-то на Википедија се прикажува како преглед во платформата за пораки на претпријатието.
Вреди да се истакне дека клучен предуслов за извлекување на овој напад е првиот збор од вториот пасус во написот на Википедија да мора да биде домен од највисоко ниво (на пр., во, во, com или net) и дека двата параграфа треба да се појави во првите 100 зборови од статијата.
Со овие ограничувања, заканата може да го вооружи ваквото однесување, така што начинот на кој Slack ги форматира резултатите од прегледот на споделената страница укажува на злонамерна врска која, по кликнување, ја носи жртвата на локација заробена од замки.
„Ако некој нема етички заштитни огради, тие може да ја зголемат површината за напад на нападот на Wiki-Slack со уредување на страниците од интерес на Википедија за да го обезличат“, рече eSentire .
Извор: (thehackernews.com)