Исследователи кибербезопасности обнаружили еще одну фейковую кампанию по распространению смертоносного вредоносного ПО.
последний отчет (откроется в новой вкладке) обнаружил, что новая версия известного вредоносного ПО (откроется в новой вкладке) Сообщалось об угрозе Ursnif (также известной как Gozi) в дикой природе.
В отличие от предыдущих версий, эта версия не имеет своих обычных функций банковского трояна, что побудило исследователей предположить, что вредоносная программа модифицируется для распространения программ-вымогателей.
Поддельные предложения о работе в LinkedIn
Mandiant назвал эту версию LDR4 после того, как обнаружил ее в конце июня 2022 года. Для распространения вредоносного ПО злоумышленники создают поддельные учетные записи LinkedIn, выдавая себя за вербовщиков крупных компаний. После обращения к своим целям и участия в разговоре, чтобы установить некоторую легитимность, они делятся ссылкой.
Затем связанный веб-сайт требует, чтобы жертвы выполнили проверку CAPTCHA, чтобы загрузить документ Excel, который утверждает, что предлагает более подробную информацию о позиции, но на самом деле содержит вредоносный макрос, который извлекает вредоносное ПО из удаленного места.
Поскольку LDR4 поставляется в виде файла .DLL (loader.dll), упакован портативными исполняемыми шифровальщиками и подписан действительными сертификатами, он избегает обнаружения некоторыми антивирусами. (откроется в новой вкладке) решения, предупреждают исследователи.
После запуска файл .DLL собирает данные системных служб из реестра Windows и создает идентификатор пользователя и системы. Он также подключается к серверу управления и контроля вредоносного ПО (C2), чтобы получить список команд, которые необходимо выполнить.
В настоящее время исследователи не могут на 100% подтвердить окончание игры Ursnif, но они отметили, что хакер якобы просил партнеров распространять программу-вымогатель и версию Ursnif для RM3 через подпольные хакерские форумы.
В последний раз мы слышали об Ursnif в январе 2022 года, когда HP Wolf Security заметила, что он распространяется через файлы Excel для оружия среди италоязычных пользователей.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
