Хакеры, связанные с Россией, тайно внедряют вредоносное ПО в европейские отели и другие предприятия сферы гостеприимства, обманом заставляя персонал самостоятельно устанавливать его через поддельные «синие экраны смерти» (BSOD) Windows.
В отчете, опубликованном на этой неделе, исследователи угроз из Securonix заявили, что отслеживают скрытую кампанию заражения, которую они называют PHALT#BLYX. В ее основе лежит вариант социальной инженерии печально известной атаки ClickFix, начинающейся с фишинговых электронных писем, имитирующих отмену бронирования на Booking.com.
Схема проста: сотрудник отеля получает электронное письмо, которое выглядит как сообщение от Booking.com, обычно предупреждающее о крупной сумме в евро, подлежащей оплате. Перейдя по ссылке «Подробнее», он попадает на страницу, похожую на настоящую страницу Booking.com, но вместо информации о бронировании видит поддельный экран верификации, который быстро сменяется полноэкранным «синим экраном смерти» Windows.
Поддельный BSOD разработан таким образом, чтобы вызвать панику у пользователя и заставить его «исправить» несуществующую ошибку, выполнив ряд шагов, которые в конечном итоге приводят к тому, что он вставляет и выполняет вредоносную команду PowerShell, что является классическим признаком атаки ClickFix. Поскольку жертва вручную запускает код, это обходит многие автоматизированные средства контроля безопасности, которые блокировали бы традиционные методы загрузки вредоносного ПО.
После выполнения команды система незаметно загружает дополнительные файлы и использует легитимный компонент Windows для выполнения кода злоумышленников, что помогает вредоносному ПО замаскироваться под обычную активность и обойти средства безопасности. Конечным результатом является установка трояна удаленного доступа, который предоставляет злоумышленникам постоянный контроль над скомпрометированной машиной, позволяя им шпионить за активностью и доставлять дальнейшее вредоносное ПО, сообщает Securonix.
Фирма, занимающаяся вопросами безопасности, отмечает, что злоумышленники развивали свою цепочку заражения в течение нескольких месяцев, переходя от более ранних, простых методов HTML Application к более сложной исполнению на основе MSBuild. Этот сдвиг затрудняет обнаружение вредоносной активности с помощью обычных антивирусных инструментов.
Акцент на платежах в евро и нацеливание на организации сферы гостеприимства в напряженный праздничный сезон предполагает, что кампания направлена непосредственно на европейские компании, заявили исследователи. В файле проекта MSBuild есть дополнительные артефакты, указывающие на использование русского языка, а само семейство DCRat широко распространено на российских подпольных форумах, что усиливает подозрения в том, что за это могут быть ответственны злоумышленники, связанные с Россией. ®
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
8/9
Автор – Carly Page
