#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа угроз DEV-0970/Storm-0970 очень опасна, поскольку использует варианты ransomware и другие вредоносные программы для атак на операционные системы Windows, шифруя файлы и требуя выкуп за доступ к ним. Анализ временных меток компиляции и значений энтропии Poop69 и BIG HEAD позволяет предположить, что они происходят из региона СНГ.
-----

Исследовательская группа CYFIRMA недавно обнаружила финансово мотивированную группу угроз под названием DEV-0970/Storm-0970, которая использует конструктор вымогательского ПО для развертывания нескольких вариантов вымогательского ПО. Два наиболее заметных варианта, Poop69 и BIGHEAD, были замечены в дикой природе в мае 2023 года. Оба варианта имеют одинаковую контактную информацию и вредоносные библиотеки и, как предполагается, происходят из региона СНГ, поскольку в них не используются некоторые языки.

Анализ временных меток компиляции и значений энтропии Poop69 и BIG HEAD показывает, что Poop69 был создан 7 апреля 2023 года, а BIG HEAD - 12 апреля 2023 года. Кроме того, их контактная информация идентична: poop69news@gmail.com.

Среди вредоносных библиотек, используемых как Poop69, так и BIG HEAD, - AES_Decryptor для расшифровки файлов жертв и GetTheResource для сбора системной информации, сетевых данных и учетных данных. Общие ТТП указывают на то, что это один и тот же угрожающий агент, вероятно, использующий сборщик от оператора (операторов) "вредоносного ПО как услуги" (Malware-as-a-Service, MaaS).

Группа агентов угроз DEV-0970/Storm-0970 считается очень опасной, поскольку ее варианты роуд-программ нацелены на операционные системы Windows. Кроме того, вместе с выкупными программами они могут распространять трояны для кражи паролей и другие вредоносные программы, что еще больше усложняет ситуацию. Поскольку пока нет публичных сообщений о жертвах, возможно, они либо заплатили выкуп, либо злоумышленники пытаются продать похищенные данные или использовать их во вредоносных целях. Как следствие, файлы были зашифрованы, что сделало их недоступными до тех пор, пока не будет выплачен выкуп.

#ParsedReport #CompletenessLow
19-07-2023

New hacker group Quartz Wolf leverages legitimate software to attack the hospitality industry

https://bi.zone/eng/expertise/blog/novaya-gruppirovka-quartz-wolf-primenyaet-otechestvennoe-po-v-atakakh-na-gostinichnyy-biznes

Report completeness: Low

Actors/Campaigns:
Quartz_wolf (motivation: cyber_criminal)

Victims:
Ooo federal hotel service

Industry:
Healthcare

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 6
Registry: 1
Url: 1
Hash: 2

Algorithms:
crc-32, rc4

Functions:
GetCommandLine

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Quartz Wolf - хакерская группа, использующая программное обеспечение удаленного доступа Assistant для обхода традиционных средств защиты и получения доступа к целевым системам.
-----

Quartz Wolf - хакерская группа, придумавшая уникальный способ обхода традиционных средств защиты. Используя программу удаленного доступа Assistant, группа пытается скомпрометировать системы своих жертв. Группа рассылает фишинговые письма под видом ООО "Федеральная гостиничная служба" со ссылкой на архив с вредоносным файлом. Вредоносный файл содержит следующий этап, который зашифрован в RC4, где ключом является контрольная сумма MD5, вычисленная по контрольной сумме CRC32 с адреса сервера C2. Угрожающие лица используют это редкое, но легитимное программное обеспечение для обхода традиционных средств защиты.

При загрузке вредоносного файла программа Assistant записывает контрольную сумму MD5 от известного злоумышленникам пароля, присваивает атрибуты Hidden и System всем файлам в текущем каталоге, обеспечивает автоматический запуск Assistant путем создания параметра tip в Software\Microsoft\Windows\CurrentVersion\RunOnce, создает уникальный идентификатор пользователя, вычисляя контрольную сумму MD5 из суммы контрольных сумм CRC32 версии ОС, имени пользователя и имени компьютера, и получает идентификатор пользователя Assistant из HKEY_CURRENT_USER\Software\safib\ast\SS - your_id. Кроме того, он многократно отправляет GET-запросы, содержащие идентификатор пользователя Assistant и уникальный идентификатор пользователя, на сервер C2 и передает параметры ast.exe -AHIDE -ASTART для скрытого запуска.

#ParsedReport #CompletenessMedium
19-07-2023

HotRat: The Risks of Illegal Software Downloads and Hidden AutoHotkey Script Within. Conclusion

https://decoded.avast.io/martinchlumecky/hotrat-the-risks-of-illegal-software-downloads-and-hidden-autohotkey-script-within

Report completeness: Medium

Actors/Campaigns:
Pyration

Threats:
Hotrat
Asyncrat_rat
Steganography_technique
Disabling_antivirus_technique
Empire_loader
Iobit_tool
Anydesk_tool

Victims:
Users downloading illegal software from unverified sources

Geo:
Africa, Asia, America

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1112, T1078, T1083, T1105, T1090, T1022, T1110, T1106, have more...

IOCs:
File: 6
Command: 1
Path: 9
IP: 4
Domain: 15

Soft:
autohotkey, photoshop, windows defender, task scheduler, discord, net framework, adobe illustrator, microsoft office, tiktok

Algorithms:
zip, exhibit

Platforms:
x64, x86

Links:
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносная программа HotRat представляет собой усовершенствованную версию AsyncRAT, распространяемую через предварительно взломанное программное обеспечение и обладающую такими вредоносными возможностями, как кража учетных данных, криптовалютных кошельков, захват скриншотов, кейлоггинг и установка дополнительных вредоносных программ. Важно проявлять осторожность при загрузке программного обеспечения из непроверенных источников и использовать антивирусные программы для защиты от киберугроз.
-----

Проблема пиратства программного обеспечения продолжает оставаться актуальной, и распространение вредоносных программ является одним из возможных ее последствий. Недавно был замечен вариант вредоносной программы AsyncRAT (получивший название HotRat), который разворачивался с помощью скрипта AutoHotkey, прикрепленного к предварительно взломанному программному обеспечению. HotRat - это усовершенствованная версия AsyncRAT, способная похищать учетные данные, криптовалютные кошельки, делать снимки экрана, вести кейлоггинг и устанавливать другие вредоносные программы. Кроме того, он обладает стойкостью, используя запланированные задачи, что позволяет ему закрепиться на инфицированных системах.

Процесс развертывания прост и использует базовую форму шифрования - PNG-стеганографию - для доставки конечной полезной нагрузки. Кроме того, вредоносная программа демонстрирует стойкость, используя запланированные задачи, что позволяет ей удерживаться на зараженных системах. Он также способен уничтожать антивирусные программы, что ставит под угрозу общую безопасность системы.

В середине октября 2022 года начался значительный рост числа случаев заражения вредоносным ПО HotRat, который был отмечен в различных регионах мира. Чаще всего злоумышленники, использующие HotRat, взламывают такие программы, как Adobe Illustrator, Adobe Master Collection, Adobe Photoshop, Age of Empires IV, Microsoft Office и Windows. Для распространения вредоносной программы HotRat использовалась программа CCleaner.

Зараженные файлы обычно хранятся на общедоступных репозиториях, таких как krakenfiles.com, send.cm, easybytez.com, easyupload.io, wetransfer.com и www.mediafire.com. URL-адреса, ведущие к файлам, распространяются на машинах жертв через различные платформы, такие как социальные сети, торренты, форумы или публичные репозитории с возможностью поиска. Злоумышленники обычно применяют обманную тактику, активно участвуя в работе интернет-форумов.

Важно подчеркнуть, что загрузка сомнительного программного обеспечения из непроверенных источников поможет снизить риск заражения вредоносным ПО и утечки данных. Пользователи должны загружать программное обеспечение у легальных и проверенных поставщиков, что гарантирует безопасность, легальность и постоянную поддержку. Для защиты от киберугроз следует также использовать антивирусные программы.

#technique

Exploiting SteelSeries' Subapplication Mechanism for Privilege Escalation

https://www.akamai.com/blog/security-research/exploit-steelseries-subapp-privilege-escalation

#technique

Escalating Privileges via Third-Party Windows Installers

https://www.mandiant.com/resources/blog/privileges-third-party-windows-installers

#ParsedReport #CompletenessLow
20-07-2023

CVE-2023-34362 : MOVEit Transfer Exploitation Analysis

https://labs.k7computing.com/index.php/cve-2023-34362-moveit-transfer-exploitation-analysis

Report completeness: Low

Threats:
Clop

Victims:
High-profile government, finance, media, aviation and healthcare organisations

Industry:
Government, Financial, Healthcare, Aerospace

CVEs:
CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)


IOCs:
File: 4
Path: 1
Hash: 5

Soft:
moveit

Links:
https://github.com/horizon3ai/CVE-2023-34362/blob/master/CVE-2023-34362.py

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Progress выпустила сообщение об обнаружении критической уязвимости SQL-инъекции в веб-приложении программного обеспечения MOVEit Transfer and Cloud, которая может быть использована для получения контроля над всей системой. Компания Progress рекомендовала предпринять ряд мер по устранению уязвимости, а пользователям настоятельно рекомендуется как можно скорее обновить свои системы для защиты от этой и других киберугроз.
-----

31 мая 2023 года компания Progress выпустила сообщение об обнаружении критической уязвимости SQL-инъекции в веб-приложении программного обеспечения MOVEit Transfer and Cloud. Эта уязвимость, отслеживаемая как CVE-2023-34362, может позволить злоумышленникам получить административный доступ, произвести утечку данных и выполнить произвольный код. Сообщалось, что группа CLOP, занимающаяся распространением вымогательского ПО, использовала эту уязвимость и провела множество атак на высокопоставленные государственные, финансовые, медийные, авиационные и медицинские организации.

Серьезность уязвимости оценивается как "критическая", и она может быть использована для получения повышенных прав на уязвимых системах. Уязвимость связана с недостаточной входной проверкой данных, предоставляемых пользователем, перед использованием в SQL-запросе. В случае успешной эксплуатации злоумышленник может получить неограниченный доступ к пораженной системе.

Злоумышленник, использующий эту уязвимость, может получить контроль над всей системой, включая полный доступ ко всем хранящимся в ней данным. Это может быть использовано для утечки конфиденциальной информации, модификации или удаления данных без ведома легитимного пользователя. Кроме того, злоумышленник может установить в систему вредоносный код, позволяющий удаленно управлять системой и проводить дальнейшие атаки.

Компания Progress рекомендовала ряд мер по устранению уязвимости, включая обновление до последней версии программного обеспечения и отключение служб, которые не требуются для нормальной работы системы. Кроме того, пользователи должны убедиться в том, что все остальные меры безопасности, такие как межсетевые экраны и антивирусное программное обеспечение, являются актуальными и эффективными.

Важно отметить, что Progress тесно сотрудничает с исследователями безопасности и правоохранительными органами для изучения и устранения этой уязвимости. Progress также выпустил патч для устранения уязвимости, и пользователям настоятельно рекомендуется как можно скорее обновить свои системы.

В связи с серьезностью этой уязвимости организациям необходимо принять необходимые меры для обеспечения безопасности своих систем. Регулярное обновление программного обеспечения, применение надежных мер безопасности и мониторинг сетевой активности помогут защититься от этой и других киберугроз. Как всегда, организациям следует регулярно создавать резервные копии важных данных и хранить их в удаленном месте на случай чрезвычайных ситуаций.

#ParsedReport #CompletenessMedium
20-07-2023

Kanti: A NIM-Based Ransomware Unleashed in the Wild

https://blog.cyble.com/2023/07/20/kanti-a-nim-based-ransomware-unleashed-in-the-wild

Report completeness: Medium

Threats:
Kanti
Dark_power_ransomware

Victims:
Cryptocurrency users

Industry:
Financial

TTPs:
Tactics: 4
Technics: 7

IOCs:
File: 3
Command: 2
Path: 1
IP: 1
Hash: 3

Crypto:
bitcoin

Algorithms:
sha256, sha1, zip

Win API:
FindFirstFileW, FindNextFileW, BCryptGenRandom, MoveFileExW

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленники используют язык программирования NIM для создания новых вариантов рандомного ПО, ориентированных на криптовалютных пользователей, и одним из последних примеров является программа Kanti. В статье также рассказывается о том, как эта программа выборочно исключает определенные файлы/папки и расширения файлов, а также как она использует BCrypt.dll для генерации защищенных ключей. Наконец, в статье подчеркивается, что важно всегда быть в курсе последних событий, связанных с разработкой программ-вымогателей.
-----

NIM, язык программирования, специально разработанный для эффективного исполнения и повышения производительности, в последнее время стал объектом внимания разработчиков вредоносных программ благодаря своей уникальной новизне. Он обладает кроссплатформенной поддержкой, позволяя компилировать код в исполняемые файлы, пригодные как для операционных систем Windows, так и для Linux. Одна из известных групп рандомных программ, Dark Power ransomware, использовала язык программирования NIM для создания вариантов рандомных программ, способных шифровать файлы жертв, намеренно исключая критически важные системные файлы. Кроме того, эта программа способна очищать журналы и генерировать записку с выкупом в каждой зараженной папке.

Недавно компания Cyble Research and Intelligence Labs (CRIL) столкнулась с новым штаммом программы-рансома под названием Kanti. Эта программа изменяет расширение зашифрованного файла на .kanti и после завершения процесса шифрования высылает записку с требованием выкупа под названием Kanti.html. Эта программа специально нацелена на пользователей криптовалют, поскольку использует имена файлов, связанные с криптовалютными кошельками, в частности BTC (Bitcoin).

Название zip-файла говорит о том, что он, скорее всего, распространяется через спам-письма или с фишинговых сайтов. ZIP-файл содержит файл быстрого доступа для Windows под названием Open Private Keys For Access To Wallet.lnk, который призван обмануть пользователей и заставить их поверить в то, что он предоставляет доступ к закрытым ключам для разблокировки средств, хранящихся в ZIP-файле. При его выполнении запускается целевая команда cmd.exe /c start Locked_253_BTC.zip, которая обходит некорректную ассоциацию файлов и напрямую запускает ZIP-файл в качестве исполняемого файла.

Kanti ransomware выборочно исключает из шифрования определенные имена файлов/папок и расширения файлов. Для генерации защищенных ключей он использует модуль BCrypt.dll с флагом BCRYPT_USE_SYSTEM_PREFERRED_RNG. После шифрования файлов он заменяет оригинальные файлы их зашифрованными копиями и переименовывает их с расширением .kanti. После этого на рабочем столе появляется записка с выкупом Kanti.html, содержащая инструкции о том, как связаться со злоумышленниками.

В последнее время все большее внимание TA, занимающиеся атаками на вымогателей, уделяют пользователям криптовалют, поскольку они могут получить более высокий выкуп, анонимность криптовалютных транзакций и технические ноу-хау. Отсутствие в NIM надежных механизмов защиты и обнаружения по сравнению с более распространенными языками программирования дает возможность авторам вредоносных программ уходить от обнаружения и повышать эффективность своих атак. Cyble Research and Intelligence Labs постоянно отслеживает новые кампании по борьбе с вымогательством, обеспечивая наших читателей информацией о последних находках и разработках вредоносного ПО.

#ParsedReport #CompletenessLow
20-07-2023

CHM malware impersonating domestic financial companies and insurance companies

https://asec.ahnlab.com/ko/55351

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
M2rat

Victims:
Domestic financial companies, Insurance companies

Industry:
Financial

Geo:
Korea

IOCs:
Path: 1
File: 1
Url: 4
Hash: 4

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно выявил вредоносное распространение CHM-программ, выдающих себя за письма безопасности от отечественных финансовых и страховых компаний, созданное атакующей группой RedEyes. Для предотвращения такого рода атак важно воздерживаться от чтения писем из неизвестных источников и обновлять продукты безопасности до последней версии.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно обнаружил распространение вредоносной программы CHM, выдающей себя за письма безопасности от отечественных финансовых и страховых компаний. Предполагается, что она была создана атакующей группой RedEyes, известной также как APT37 или ScarCruft. Вредоносный файл распространялся в сжатом виде (RAR), при выполнении которого создавалось окно помощи. В справочном окне содержались уведомления, выдающие себя за отечественные финансовые и страховые компании, в том числе информация о лимитах использования карт, результатах снятия страховки, договорах банковских продуктов.

Вредоносный код использовал команду, которая также применялась в процессе атаки вредоносной программы M2RAT, представленной в феврале прошлого года. В нем также использовался объект быстрого доступа (ShortCut) и метод Click, однако теги Object и команды выполнялись не сразу. Вместо этого они вставлялись в определенную область ID через свойство innerHTML и выполнялись после объединения строк. Файл Docs.jse представлял собой закодированный JavaScript, причем строки, используемые для вредоносного поведения, были закодированы таким образом, чтобы обойти диагностику файла. Наконец, скрипт регистрировал файл Docs.jse в ключе Run для сохранения, а затем пытался загрузить дополнительные вредоносные файлы с помощью команды powershell.

Этот тип вредоносного кода может нанести большой ущерб, например, похитить информацию, в зависимости от загружаемых дополнительных вредоносных файлов. Для предотвращения такого рода атак пользователям следует воздерживаться от чтения писем из неизвестных источников и не выполнять вложенные файлы. Кроме того, необходимо периодически проводить сканирование ПК и обновлять продукты безопасности до последней версии.

#ParsedReport #CompletenessMedium
20-07-2023

Bad ad fad leads to IcedID, Gozi infections

https://news.sophos.com/en-us/2023/07/20/bad-ad-fad-leads-to-icedid-gozi-infections

Report completeness: Medium

Actors/Campaigns:
Dev-0569

Threats:
Icedid
Gozi
Batloader
Fakebat
Seo_poisoning_technique
Gootkit
Aurora
Redline_stealer
Vidar_stealer
Formbook
Ars_loader
Rhadamanthys
Blackseo_technique
Raccoon_stealer
Royal_ransomware
Mitm_technique
Anydesk_tool
Teamviewer_tool
Qakbot
Cobalt_strike
Stealc
Nsudo_tool
Atera_tool

Victims:
Users lured to malicious sites, victims of seo poisoning, victims of icedid

Industry:
Financial, Entertainment, E-commerce

IOCs:
Domain: 1
File: 1

Soft:
capcut, virtualbox, slack, midjourney, chatgpt, onenote, windows defender, tradingview, microsoft teams, libreoffice, have more...

Algorithms:
zip

Links:
https://github.com/felixweyne/imaginaryC2/tree/master/examples/use-case-8-gozi\_ursnif

#ParsedReport #ExtractedSchema

Classified images:
code: 3, chats: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Малвертайзинг - это вид кибератак, при котором угрожающие субъекты используют SEO-отравление или покупку рекламы, чтобы вывести свои вредоносные сайты на первые места в результатах поиска. Такие вредоносные программы, как IcedID, BatLoader, FakeBat и Raccoon, распространяются через вредоносную рекламу.
-----

Число киберпреступлений растет, причем угрозы все чаще используют платную рекламу для завлечения пользователей на вредоносные сайты. Такие атаки известны как malvertising, использующие SEO-травление или покупку рекламы для вывода своих сайтов на первые места в результатах поиска. Например, в январе 2023 года компания Tech Monitor сообщила о появлении вредоносных ссылок в верхней части результатов поиска, когда пользователи искали OBS (приложение для скринкастинга и потокового вещания), при нажатии на которые загружался инфопохититель Rhadamanthys. Об увеличении числа таких случаев также сообщили Spamhaus и Guardio Labs, а также компания Sophos в своем отчете "Угрозы 2023". Малвертайзинг дает угрозам ряд преимуществ, например, нацеленность на конкретные регионы, а поскольку жертвы уже хотят что-то скачать, вероятность заражения может возрасти.

Малвертайзинг опирается на SEO-отравление и нацелен на конкретных пользователей, особенно географических. В конце 2022 года один из клиентов загрузил файл виртуального жесткого диска (VHD), содержащий вредоносные файлы виртуального контейнера, который, как выяснилось, содержал вредоносную программу BatLoader. Этот загрузчик вредоносного ПО с первоначальным доступом загружает дополнительные, более сложные вредоносные программы, и при дальнейшем исследовании было обнаружено, что он загружает два зашифрованных файла, содержащих бэкдор Gozi - банковский троян, который был замечен в кампании по SEO-травлению BatLoader в 2022 году.

IcedID - еще один тип угроз, использующий вредоносную рекламу, особенно в декабре 2022 и январе 2023 года. Для точного нацеливания на веб-трафик использовались Google AdSense и системы распределения трафика (TDS) типа Keitaro. После того как в конце января 2022 года компания Google приняла меры по подавлению этой кампании, угрозы IcedID продолжили использовать вредоносные программы OneNote на основе электронной почты. В кампании были замечены и другие угрозы, например Qakbot.

Кампании BatLoader и FakeBat также используют вредоносную рекламу, что приводит к заражению такими вредоносными программами, как Raccoon infostealer, Gozi/Ursnif, Stealc infostealer, Cobalt Strike, а также злоупотребляют легитимными инструментами, такими как NSudo и Atera. В последнее время вредоносные рекламные объявления нацелены на пользователей, ищущих инструменты, связанные с искусственным интеллектом, такие как Midjourney и ChatGPT.

#ParsedReport #CompletenessLow
21-07-2023

Information leaking malware distributed as CHM file

https://asec.ahnlab.com/ko/55462

Report completeness: Low

Threats:
Infostealer/win.generic.r5505251906

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 3
Path: 1
Hash: 5
Url: 14

#ParsedReport #CompletenessLow
21-07-2023

Android SpyNote attacks electric and water public utility users in Japan

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-spynote-attacks-electric-and-water-public-utility-users-in-japan

Report completeness: Low

Threats:
Spynote_rat

Victims:
Japanese android users, power and water infrastructure company

Industry:
Energy, Financial

Geo:
Japanese, Japan, Tokyo

IOCs:
IP: 1
Hash: 16

Soft:
android

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В начале июня 2023 г. была замечена фишинговая кампания, направленная на японских пользователей Android и использующая фишинговый веб-сайт для заражения устройств вредоносной программой SpyNote, которая использует привилегии администратора устройства для получения доступа к пользовательской информации. McAfee Mobile Security может обнаружить и предупредить пользователей об этой угрозе, а пользователи могут защитить себя, следуя рекомендациям лучших практик.
-----

В начале июня 2023 года команда McAfee Mobile Security обнаружила smishing-кампанию, направленную на японских пользователей Android. SMS-сообщения выдавали себя за компанию, занимающуюся энерго- или водоснабжением, утверждали, что возникли проблемы с оплатой, и направляли жертв на фишинговый сайт. При переходе на сайт их устройства заражались удаленно управляемой вредоносной программой SpyNote.

Фишинговое сообщение создавало ощущение срочности и побуждало жертву к немедленным действиям - подобную тактику киберпреступники уже использовали в прошлом при атаках на финансовые учреждения. В сообщении утверждалось, что оно исходит от энергетической или водопроводной компании в Токио, и приводилась URL-ссылка на фишинговый сайт.

После этого сайт начинал загрузку вредоносной программы и отображал диалог подтверждения ее установки. Вредоносная программа относится к семейству SpyNote, распространившемуся после утечки исходного кода в октябре 2022 года. Она использует сервисы доступа и привилегии администратора устройства для получения доступа к таким данным пользователя, как его местоположение, контакты, входящие и исходящие SMS-сообщения, телефонные звонки, данные двухфакторной аутентификации через Google Authenticator, а также данные Gmail и Facebook.

SpyNote также специально нацелен на мобильные приложения для инфраструктуры жизнедеятельности, такой как электро- и водоснабжение. McAfee Mobile Security обнаруживает эту угрозу как Android/SpyNote и предупреждает пользователей мобильных устройств о ее наличии. Следуя рекомендациям лучших практик, например, не переходя по ссылкам из неизвестных источников, пользователи могут защитить себя от подобных угроз.