Поддельные «TTF»-файлы доставляют скрытое вредоносное ПО в ходе глобальной фишинговой кампании

фишинг Ttf Lua вредоносное по кибербезопасность Fortinet csoonline.com

Узнайте, как злоумышленники маскируют вредоносный Lua-загрузчик под обычный файл шрифта TTF, чтобы обходить защиту и красть данные. Глобальная фишинговая кампания использует обфусцированный JavaScript и поддельные шрифты для доставки RAT-троянов и инфостилеров. Примите меры: ограничьте Windows Script Host, Autolt и LuaJIT, мониторьте аномалии.

Злоумышленники начали использовать обычный файл шрифта для доставки вредоносного ПО с низкой обнаруживаемостью, способного красть учетные данные и закрепляться в скомпрометированных системах Windows.

Согласно новому исследованию FortiGuard Labs (подразделение Fortinet), глобальная фишинговая кампания активно применяет сильно обфусцированный JavaScript и загрузчик на Lua, маскирующийся под файл шрифта TrueType (TTF), чтобы обходить защиту и внедрять RAT-трояны и инфостилеры.

Файл TTF — это стандартный файл шрифта, используемый операционными системами и приложениями для отображения текста.

С конца марта 2026 года в рамках кампании развертываются такие семейства вредоносных программ, как Agent Tesla, Remcos, XWorm и вариант кейлоггера Snake, известный как Best Private LOGGER. «В этих атаках злоумышленник выдает себя за несколько известных компаний, используя предлог делового сотрудничества для запуска фишинговых атак», — сообщили исследователи FortiGuard в записи в блоге.

Говоря о том, что новая техника атак по-прежнему опирается на традиционные фишинговые уловки, Шейн Барни, директор по информационной безопасности (CISO) Keeper Security, отметил: «Самое изощренное техническое уклонение в мире по-прежнему начинается одинаково: кто-то открывает письмо от, казалось бы, надежной компании и действует по его инструкции».

«Слои обфускации, загрузчик Lua, замаскированный под файл шрифта, бесфайловая цепочка выполнения — все это существует для того, чтобы выжить после обнаружения после того, как человеческое решение уже принято, и организациям стоило бы держать это в поле зрения», — добавил он.

Используются фишинговые приманки на тему бизнеса и платежей

По словам исследователей, жертвы получают фишинговые письма, в которых злоумышленники выдают себя за известные компании и используют темы делового сотрудничества или платежей, чтобы обманом заставить получателей открыть сжатые архивы. Эти архивы содержат обфусцированный JScript, который обеспечивает закрепление в системе, после чего сбрасывает либо легитимный исполняемый файл Autolt, либо интерпретатор LuaJIT вместе с вредоносным скриптом, упакованным в расширение .ttf.

Поддельный файл шрифта функционирует как загрузчик на Lua, который выполняет несколько этапов деобфускации, прежде чем расшифровать и выполнить шелл-код непосредственно в памяти.

«Средства безопасности не могут рассматривать расширение файла как доказательство его типа или назначения», — сказал Джейсон Сороко, старший научный сотрудник Sectigo. «Каждый компонент (кампании) может выглядеть менее подозрительным при отдельном рассмотрении, в то время как комбинированная последовательность приводит к выполнению RAT-троянов и инфостилеров в памяти».

Некоторые новые варианты, как отмечают исследователи, становятся все более изощренными: они используют сегментированное шифрование шелл-кода, дешифрование во время выполнения на основе векторизованного обработчика исключений (VEH), обход AMSI и ETW, снятие перехвата API и другие методы антианализа, предназначенные для обхода защиты конечных точек.

Финальная вредоносная нагрузка доставляется с помощью шелли-кода Donut, что позволяет выполнять нагрузку без записи на диск.

Защита требует целенаправленных мер смягчения и регулярной гигиены безопасности

Результаты исследования Fortinet подтверждают, что конечная цель атакующих — кража учетных данных и поддержание долгосрочного доступа. Наблюдаемые семейства вредоносных программ, включая Agent Tesla, Remcos, XWorm и Best Private LOGGER, все нацелены на кражу учетных данных, слежку или удаленный доступ.

Барни заявил, что организациям следует сопротивляться желанию сосредотачиваться исключительно на технической изощренности загрузчика, а вместо этого укреплять системы, которые атакующие в конечном итоге хотят скомпрометировать.

По его мнению, все сводится к контролю доступа и идентификации, поскольку сигнатурное обнаружение часто неэффективно против загрузчиков такого уровня сложности. «Ограничение того, к чему может получить доступ любой заданный набор учетных данных, внедрение принципа наименьших привилегий, требование повторной аутентификации для чувствительных систем и мониторинг аномального поведения сеансов не остановят каждое фишинговое письмо, но они существенно ограничат возможности атакующего после того, как одно из них достигнет цели», — пояснил он.

Сороко, в свою очередь, рекомендует сосредоточить средства контроля на технических индикаторах. Он призвал организации ограничивать Windows Script Host, Autolt и LuaJIT везде, где они не требуются для работы, отслеживать такие действия, как внедрение процессов, удаленное выделение памяти и выполнение шелл-кода, а также использовать опубликованные Fortinet индикаторы для охоты за угрозами.

Индикаторы компрометации (IOC), которыми поделилась Fortinet, включают адреса командных центров (C2), хеши файлов и имена файлов.

Сороко предупредил, что не следует полагаться исключительно на хеши или инфраструктуру C2, поскольку загрузчик со временем меняется. «Более надежный подход — обнаруживать стабильное поведение в разных версиях, а затем тестировать средства защиты на полной цепочке», — сказал он.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:

Похожие новости: