Хакеры распространяют троян через сообщения LinkedIn, используя подгрузку DLL
Обнаружена новая фишинговая кампания, в рамках которой злоумышленники рассылают вредоносные нагрузки через личные сообщения в LinkedIn. Целью атаки является установка трояна удаленного доступа (RAT), сообщает The Hacker News со ссылкой на отчете ReliaQuest.
Атака начинается с обращения к потенциальным жертвам в LinkedIn и побуждения их загрузить самораспаковывающийся архив WinRAR (SFX). При запуске архив извлекает несколько компонентов, включая легитимное приложение для чтения PDF с открытым исходным кодом и вредоносную DLL. Заражение происходит через технику подгрузки DLL (DLL sideloading), когда легитимное приложение загружает вредоносную библиотеку.
Как отмечается в отчете, подгруженная DLL размещает в системе переносимый интерпретатор Python и создает ключ автозапуска в реестре Windows для его автоматического выполнения. Основная задача интерпретатора — выполнить Base64-кодированный шелл-код непосредственно в памяти, что не оставляет следов на диске. Финальная нагрузка обеспечивает злоумышленникам постоянный удаленный доступ к системе.
В ходе кампании, по данным ReliaQuest, злоупотребляют легитимными инструментами с открытым исходным кодом, что позволяет избегать обнаружения. Отмечается, что только за последнюю неделю было зафиксировано как минимум три кампании, использовавшие аналогичную технику для доставки различных вредоносных семейств.
Сообщается, что этот подход позволяет атакующим обходить средства защиты, поскольку личные сообщения в социальных сетях обычно менее контролируются, чем корпоративная электронная почта. Ранее LinkedIn уже неоднократно использовался для целевых фишинговых атак.
Читайте также
