Хакеры атаковали финорганизации с помощью трояна-клона Minesweeper

Хакеры начали применять код Python-клона игры Minesweeper, чтобы скрыть в нём вредоносные скрипты и проводить атаки на финансовые организации Европы и США.

Атаки приписывают злоумышленнику, отслеживаемому как «UAC-0188». Он использует легальный код, чтобы скрыть скрипты Python, которые загружают и устанавливают SuperOps RMM.

Superops RMM — это программное обеспечение для удалённого управления, которое предоставляет участникам прямой доступ к скомпрометированным системам. 

Хакеры начинают с рассылки электронных писем с адреса «support@phase-docs-mail.com» и с темой «Личный веб-архив медицинских документов». Они выдают себя за медицинский центр. Получателю предлагают загрузить файл .SCR размером 33 МБ по ссылке Dropbox. Файл содержит код из Python-клона игры, а также вредоносный код Python, который загружает дополнительные скрипты из удалённого источника («anotepad.com»).

Включение кода Minesweeper в исполняемый файл служит прикрытием для строки размером 28 МБ в кодировке Base64, содержащей вредонос. Кроме того, код Minesweeper содержит функцию с именем «create_license_ver», которая переназначается для декодирования и выполнения скрытого вредоносного кода.

Строка base64 декодируется для сборки ZIP-файла, содержащего установщик MSI для SuperOps RMM, который в конечном итоге извлекается и выполняется с использованием статического пароля. 

Исследователи безопасности отмечают, что организации, не использующие продукт SuperOps RMM, должны рассматривать его присутствие или связанную с ним сетевую активность, например обращения к доменам «superops.com» или «superops.ai», как признак хакерской атаки.

Ранее Минюст США раскрыл имя и заочно предъявил обвинения предполагаемому администратору программы-вымогателя LockBit — 31-летнему Дмитрию Хорошеву (aka LockBitSupp) из Воронежа. Ему грозит тюремное заключение сроком до 185 лет. Исследователь Брайан Кребс попытался раскрыть способы, с помощью которых ведомства пытались деанонимизировать хакера. Между тем LockBitSupp заявил в интервью, что он не тот человек, о котором заявил Минюст США. Хакер утверждает, что ФБР «сфабриковало дело» против невиновного.

Источник: habr.com

0 0 голоса
Рейтинг новости
0
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии