Быстрая покупка VPN для России через удобный Телеграмм-бот:
|
Вредоносная операция CLOUD#REVERSER эксплуатирует легитимные облачные сервисы для обхода обнаружения.
Исследователи компании Securonix обнаружили новую кампанию кибератак под названием CLOUD#REVERSER. В ходе этой операции злоумышленники используют легитимные облачные сервисы, такие как Google Drive и Dropbox, для размещения там вредоносных файлов.
«Скрипты на VBScript и PowerShell в рамках CLOUD#REVERSER выполняют C2-действия, используя Google Drive и Dropbox как платформы для управления загрузками и скачиванием файлов», — сообщили исследователи Ден Иузвик, Тим Пек и Олег Колесников в своём отчёте.
Атака начинается с фишингового письма, которое содержит ZIP-архив с исполняемым файлом, маскирующимся под Microsoft Excel. Мало того, что этот файл использует иконку с логотипом Excel, в имени файла также применён скрытый символ Unicode (U+202E), который переворачивает порядок следующих символов в строке, обманывая пользователя и заставляя его думать, что он открывает файл Excel.
Так, рассмотренный в рамках кампании исполняемый файл «RFQ-101432620247fl[U+202E]xslx.exe» отображался в системе жертвы под видом «RFQ-101432620247flexe.xlsx».
В ходе атаки исполняемый файл запускает восемь вредоносных нагрузок, включая поддельный Excel-файл и сильно обфусцированный скрипт на Visual Basic, который открывает файл Excel и запускает два других скрипта.
Оба скрипта создают постоянное присутствие на компьютере жертвы, используя задачу в планировщике Windows, маскируясь под обновление браузера Google Chrome. Эти задачи запускают уникальные VB-скрипты каждые 60 секунд.
Каждый из этих скриптов запускает по два PowerShell-скрипта, которые подключаются к управляемым злоумышленниками аккаунтам Dropbox и Google Drive для загрузки дополнительных скриптов.
Получи VPN-прокси для России через наш удобный Телеграмм-бот:
|
Эти скрипты затем запускают загруженные PowerShell-скрипты и скачивают дополнительные файлы из облачных сервисов, включая исполняемые файлы в зависимости от настроек системы.
Последний PowerShell-скрипт загружает файлы с Google Drive на локальную систему в директорию ProgramData, выполняя их в зависимости от критериев, установленных злоумышленниками.
Также через «68904.tmp» загружается PowerShell-скрипт, способный выполнять сжатый бинарный файл напрямую из памяти, поддерживая подключение к серверу командного управления.
«Этот подход позволяет злоумышленникам оставаться незамеченными, встраивая вредоносные скрипты в обычные облачные платформы, обеспечивая постоянный доступ к целевым системам и используя эти платформы для эксфильтрации данных и выполнения команд», — заключили исследователи.
Исследователи Securonix сообщили, что пока не могут предоставить информацию о целях и масштабе кампании, так как расследование всё ещё продолжается.
Этот инцидент подчёркивает тенденцию злоумышленников использовать легитимные сервисы для скрытого проведения атак и демонстрирует их способности адаптироваться, применяя такие методы и техники, о которых даже опытные специалисты могут не догадываться.
Всё это требует от пользователей и компаний повышенного внимания к безопасности и необходимости регулярно обновлять свои системы и освежать технические знания для защиты от подобных киберугроз.
Кодовое слово дня — безопасность.
Узнай больше — подпишись на нас!
Купить безопасный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень безопасности и защиты ваших данных при использовании интернета. Безопасный VPN предлагает множество функций, направленных на защиту вашей конфиденциальности, анонимности и предотвращение утечек данных.
Почему стоит купить безопасный VPN?
-
Защита личных данных: Безопасный VPN защищает ваши данные от кражи и слежки, особенно при использовании общественных Wi-Fi сетей.
-
Обход цензуры: Безопасные VPN позволяют обойти географические ограничения и получить доступ к заблокированным ресурсам и сайтам.
-
Спокойствие: Зная, что ваши данные защищены, вы можете более уверенно использовать интернет и меньше беспокоиться о безопасности.
-
Гибкость и настройки: Безопасные VPN часто предлагают различные настройки и функции, которые могут быть адаптированы под ваши нужды.
