Быстрая покупка VPN для России через удобный Телеграмм-бот:
|
Вредоносный загрузчик получил новый способ распространения и скрытности.
Злоумышленники начали использовать новую тактику для распространения вредоносного ПО Latrodectus через фишинговые кампании, маскируя его под уведомления от Microsoft Azure и Cloudflare. Такой механизм усложняет задачу почтовым системам безопасности в определении вредоносных писем.
Latrodectus (Unidentified 111, IceNova) представляет собой загрузчик вредоносного ПО, который используется для загрузки дополнительных EXE- и DLL-файлов или выполнения команд. Latrodectus анализировали специалисты из ProofPoint и Team Cymru.
По данным исследователя безопасности ProxyLife и группы Cryptolaemus, последняя кампания Latrodectus использует поддельную капчу Cloudflare для обхода систем безопасности. Хакеры начинают распространение через фишинговые письма с ответами в цепочке, где вставляют в переписки вредоносные ссылки или вложения.
Фишинговые письма содержат PDF-вложения или встроенные URL, которые начинают цепочку атак, ведущую к установке вредоносного ПО Latrodectus. При нажатии на кнопку «Скачать документ», пользователи попадают на поддельную страницу проверки безопасности от Cloudflare, где предлагается решить простую математическую задачу. Метод предназначен для того, чтобы антивирусные сканеры не могли проследить весь путь атаки, и вредоносное ПО активировалось только у реального пользователя.
Получи VPN-прокси для России через наш удобный Телеграмм-бот:
|
PDF-документ, который якобы размещен в облаке Microsoft Azure (слева) и поддельная капча Cloudflare (справа)
При введении правильного ответа загружается JavaScript-файл, маскирующийся под документ, который содержит обфусцированный код. Код загружает MSI-файл из жестко закодированного URL. После установки MSI-файла в папку «%AppData%Custom_update» помещается DLL-файл, который затем активируется через «rundll32.exe».
Latrodectus работает в фоновом режиме, ожидая установки дополнительных модулей или выполнения команд. На данный момент замечено, что Latrodectus доставил инфостилеры Lumma и Danabot. Учитывая, что Latrodectus связан с IcedID используется для первичного доступа к корпоративным сетям, заражение может привести к появлению более широкого спектра вредоносных программ в будущем, таких как Cobalt Strike, и мы также можем увидеть партнерские отношения с вымогательскими группами.
В случае заражения важно немедленно отключить затронутое устройство от сети и проверить сеть на наличие необычных активностей.
Невидимка в сети: научим вас исчезать из поля зрения хакеров.
Подпишитесь!
Купить безопасный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень безопасности и защиты ваших данных при использовании интернета. Безопасный VPN предлагает множество функций, направленных на защиту вашей конфиденциальности, анонимности и предотвращение утечек данных.
Почему стоит купить безопасный VPN?
-
Защита личных данных: Безопасный VPN защищает ваши данные от кражи и слежки, особенно при использовании общественных Wi-Fi сетей.
-
Обход цензуры: Безопасные VPN позволяют обойти географические ограничения и получить доступ к заблокированным ресурсам и сайтам.
-
Спокойствие: Зная, что ваши данные защищены, вы можете более уверенно использовать интернет и меньше беспокоиться о безопасности.
-
Гибкость и настройки: Безопасные VPN часто предлагают различные настройки и функции, которые могут быть адаптированы под ваши нужды.
