Злоумышленники усилили маскировку атак с помощью новых LOTL-техник

Компания HP Inc., производитель ИТ-оборудования и решений кибербезопасности (подразделение HP Wolf Security), опубликовала квартальный отчёт Wolf Security Threat Insights, в котором фиксируется рост атак, использующих схемы living-off-the-land (LOTL) для обхода защит. По данным HP, злоумышленники комбинируют несколько малораспространённых системных утилит Windows и применяют нестандартные форматы файлов, включая изображения, что затрудняет выявление вредоносной активности.

В одном случае через почтовые вложения в формате CHM, замаскированные под документацию, был запущен многоэтапный процесс заражения. Скрипты копировали системные исполняемые файлы, загружали VBScript и JavaScript, а затем через PowerShell скачивали изображение с доверенного домена Tagbox. В его пикселях был спрятан финальный код, который извлекался и выполнялся в процессе MSBuild, устанавливая XWorm для кражи данных и удалённого управления.

Отдельно исследователи описали атаку с использованием файлов SVG. Маленькие по размеру SVG открывались в браузере, имитировали интерфейс Adobe Reader и предлагали загрузить «документ». Нажатие на кнопку приводило к скачиванию ZIP-архива с обфусцированным JavaScript, причём загрузки ограничивались отдельными регионами.

Продолжение ниже

Кроме того, в письмах рассылался Lumma Stealer в формате IMG с внедрённым HTA-файлом, маскированным под счёт. Через многоступенчатое выполнение PowerShell и установщика NSIS инфостилер всё же проникал в систему. По данным HP, инфраструктура Lumma восстанавливается несмотря на майское вмешательство правоохранителей.