Команда Kaspersky Digital Footprint Intelligence выпустила отчет со статистикой по вредоносному ПО для кражи информации (инфостилерами) и рекомендациями по методу защиты.

GitHub Actions уязвимы перед тайпсквоттингом — Хакер
https://xakep.ru/2024/09/09/typosquatting-in-github-actions/

Исследователи из Лаборатории Касперского обнаружили сложную кампанию под общим названием Tusk, инициируемую русскоязычными киберпреступниками, попутно отследив множество ее подкампаний.

Каждая из них имитирует определенный легитимный проект: злоумышленники вносят незначительные изменения в названия и брендинг, а также используют многочисленные аккаунты в социальных сетях, дабы вызвать доверие у жертв.

В ходе анализа исследователи обнаружили, что первичные загрузчики всех активных подкампаний размещаются на Dropbox.

Через них образцы вредоносного ПО, включая стилеры Danabot, StealC и клипперы, попадают на устройство жертвы.

Помимо этого, злоумышленники используют техники фишинга, чтобы обманом получить у пользователей конфиденциальную информацию, например учетные данные.

Позже их реализуют в даркнете или используют для получения неправомерного доступа к игровым аккаунтам и криптокошелькам жертв, осуществляя кражу средств.

На момент проведения исследования ЛК удалось идентифицировать три активных и шестнадцать уже неактивных подкампаний. Причем неактивные подкампании, - это либо уже отработанные, либо еще не реализованные.

Все они в общей массе были названы в соответствии с обнаруженным в сообщениях логов загрузчиков упоминанием слова мамонт, которым злоумышленники обычно именуют свою жертву.

В рамках первой кампании TidyMe злоумышленники имитировали peerme.io - платформу для создания децентрализованных автономных организаций (DAO) в блокчейне MultiversX и управления ими. 

На вредоносном сайте вместо кнопки Create your Team now присутствует кнопка Download.

При нажатии определяется подходящая версия вредоносного ПО для Windows или macOS, жертве направляется соответствующий файл.

Первичный загрузчик - TidyMe.exe, приложение на основе Electron, а полезная нагрузка - updateload.exe и bytes.exe (образец использует модульный загрузчик HijackLoader), финальная - вариант вредоносного ПО семейства стилеров StealC.

Вторая подкампания RuneOnlineWorld полагается на поддельный сайт MMO-игры, где расположена ссылка на первичный загрузчик.

Логика подбора версии ПО, соответствующей устройству жертвы, также идентична используемой в TidyMe. Название образца - RuneOnlineWorld.exe (приложение на основе Electron, его логика и структура почти идентичны загрузчику первой кампании).

В кампании RuneOnlineWorld две полезные нагрузки уже не собраны в один файл. Updateload.exe использует HijackLoader и внедряет код в легитимные программы. Финальный этап атаки реализует несколько стилеров семейств Danabot и StealC.

В рамках третьей кампании Voico злоумышленники имитировали переводчик на базе ИИ под названием YOUS.

Как и в двух предыдущих, на вредоносном веб-сайте расположена ссылка на первичный загрузчик, замаскированный под приложение, механизм заражения аналогичный, а образец вредоносного ПО носит название Voico.exe.

Оба выполняемых файла в этой кампании (updateload.exe и bytes.exe) по поведению очень напоминают файл updateload.exe из второй подкампании, но с одним различием: скачанное вредоносное ПО StealC связывается с другим С2.

Детальный разбор каждой из кампаний, цепочек заражений с индикаторами компрометации - в отчете.

«Лаборатория Касперского» предупреждает о массовых почтовых атаках на отели в России
https://www.kaspersky.ru/about/press-releases/fishingovaya-kampaniya-s-progrevom-laboratoriya-kasperskogo-preduprezhdaet-o-massovyh-pochtovyh-atakah-na-oteli-v-rossii

$20 и просроченный домен могут подорвать доверие к данным WhoIs
https://www.anti-malware.ru/news/2024-09-12-114534/44126

Интересный фишинг: атакующие используют заголовки HTTP для кражи данных
https://www.anti-malware.ru/news/2024-09-16-111332/44153