Хакеры применили новую технику под названием «FileFix» при атаках вируса-вымогателя Interlock, чтобы запускать троян удаленного доступа (RAT) на целевые системы.
За последние месяцы активность вируса-вымогателя Interlock возросла, поскольку злоумышленник начал использовать веб-инжектор KongTuke (он же «LandUpdate808») для доставки полезных нагрузок через взломанные веб-сайты.
Исследователи из The DFIR Report и Proofpoint наблюдали это изменение в методах работы с мая. Тогда посетителям взломанных сайтов предлагалось пройти поддельную проверку CAPTCHA +, а затем вставить в диалоговое окно «Выполнить» содержимое, автоматически сохранённое в буфер обмена, — тактика, соответствующая атакам ClickFix.
Этот трюк заставил пользователей выполнить скрипт PowerShell, который извлек и запустил вариант Interlock RAT на базе Node.js.
В июне исследователи обнаружили в реальной жизни вариант Interlock RAT на основе PHP, который распространялся с использованием того же инжектора KongTuke.
Ранее в этом месяце произошло существенное изменение в оболочке доставки: теперь Interlock перешел на вариант FileFix метода ClickFix в качестве предпочтительного метода доставки.
Атака FileFix от Interlock
Источник: Отчет DFIR
— это метод социальной инженерии, разработанный исследователем безопасности mr.d0x. Он представляет собой усовершенствованный вариант стала одним из самых , которая за последний год
В варианте FileFix злоумышленник использует доверенные элементы пользовательского интерфейса Windows, такие как проводник и HTML-приложения (.HTA), чтобы обманным путем заставить пользователей выполнить вредоносный без отображения каких-либо предупреждений безопасности.
Пользователям предлагается «открыть файл», вставив скопированную строку в адресную строку Проводника. Эта строка представляет собой команду PowerShell, замаскированную под путь к файлу с помощью синтаксиса комментариев.
В недавних атаках Interlock жертвам предлагается вставить в Проводник команду, замаскированную поддельным путем к файлу, что приводит к загрузке PHP RAT с сайта «trycloudflare.com» и его выполнению в системе.
После заражения RAT выполняет ряд команд PowerShell для сбора информации о системе и сети и передает эти данные злоумышленнику в виде структурированного JSON.
В отчете также упоминаются свидетельства интерактивной активности, включая перечисление Active Directory, проверку резервных копий, навигацию по локальным каталогам и проверку контроллеров домена.
Сервер управления и контроля (C2) может отправлять команды оболочки для выполнения RAT, вводить новые полезные нагрузки, добавлять устойчивость с помощью ключа запуска реестра или перемещаться горизонтально с помощью удаленного рабочего стола (RDP).
Вирус-вымогатель Interlock , его жертвами стали такие известные организации, как , и .
Операция по заражению вирусом-вымогателем для заражения целей, но переход на FileFix свидетельствует о том, что злоумышленник быстро адаптируется к более скрытным методам атак.
Это первое публичное подтверждение использования FileFix в реальных кибератаках. Вероятно, он будет набирать всё большую популярность по мере того, как злоумышленники будут искать способы включить его в свои цепочки атак.
За последние месяцы активность вируса-вымогателя Interlock возросла, поскольку злоумышленник начал использовать веб-инжектор KongTuke (он же «LandUpdate808») для доставки полезных нагрузок через взломанные веб-сайты.
Исследователи из The DFIR Report и Proofpoint наблюдали это изменение в методах работы с мая. Тогда посетителям взломанных сайтов предлагалось пройти поддельную проверку CAPTCHA +, а затем вставить в диалоговое окно «Выполнить» содержимое, автоматически сохранённое в буфер обмена, — тактика, соответствующая атакам ClickFix.
Этот трюк заставил пользователей выполнить скрипт PowerShell, который извлек и запустил вариант Interlock RAT на базе Node.js.
В июне исследователи обнаружили в реальной жизни вариант Interlock RAT на основе PHP, который распространялся с использованием того же инжектора KongTuke.
Ранее в этом месяце произошло существенное изменение в оболочке доставки: теперь Interlock перешел на вариант FileFix метода ClickFix в качестве предпочтительного метода доставки.
Источник: Отчет DFIR
— это метод социальной инженерии, разработанный исследователем безопасности mr.d0x. Он представляет собой усовершенствованный вариант стала одним из самых , которая за последний год
В варианте FileFix злоумышленник использует доверенные элементы пользовательского интерфейса Windows, такие как проводник и HTML-приложения (.HTA), чтобы обманным путем заставить пользователей выполнить вредоносный без отображения каких-либо предупреждений безопасности.
Пользователям предлагается «открыть файл», вставив скопированную строку в адресную строку Проводника. Эта строка представляет собой команду PowerShell, замаскированную под путь к файлу с помощью синтаксиса комментариев.
В недавних атаках Interlock жертвам предлагается вставить в Проводник команду, замаскированную поддельным путем к файлу, что приводит к загрузке PHP RAT с сайта «trycloudflare.com» и его выполнению в системе.
После заражения RAT выполняет ряд команд PowerShell для сбора информации о системе и сети и передает эти данные злоумышленнику в виде структурированного JSON.
В отчете также упоминаются свидетельства интерактивной активности, включая перечисление Active Directory, проверку резервных копий, навигацию по локальным каталогам и проверку контроллеров домена.
Сервер управления и контроля (C2) может отправлять команды оболочки для выполнения RAT, вводить новые полезные нагрузки, добавлять устойчивость с помощью ключа запуска реестра или перемещаться горизонтально с помощью удаленного рабочего стола (RDP).
Вирус-вымогатель Interlock , его жертвами стали такие известные организации, как , и .
Операция по заражению вирусом-вымогателем для заражения целей, но переход на FileFix свидетельствует о том, что злоумышленник быстро адаптируется к более скрытным методам атак.
Это первое публичное подтверждение использования FileFix в реальных кибератаках. Вероятно, он будет набирать всё большую популярность по мере того, как злоумышленники будут искать способы включить его в свои цепочки атак.
