SecAtor
@true_secator
Исследователи BI.ZONE раскрывают подробности новой кампании Fluffy Wolf с использованием Pay2Key.
Атакующие рассылали фишинговые письма от имени сотрудников магазина сантехники, к которым прикрепляли «акт сверки» - PNG с гиперссылкой, ведущей на RAR-архив с загрузчиком akt_BUH_1C_PDF.com.
akt_BUH_1C_PDF.com после запуска расшифровывает полезную нагрузку и внедряет ее в адресное пространство InstallUtil.exe.
В данном случае в ее роли выступили Purelogs Stealer + PureRAT.
Для обхода антивирусной защиты вредоносная ПО использует инструмент для отключения Microsoft Defender NO DEFENDER.
Он не только отключает встроенную защиту Windows, но также для компрометации Microsoft Defender и Windows Security Center регистрирует в системе легитимные компоненты антивируса Avast: wsc.dll и wsc_proxy.exe (Avast Remediation), который отвечает за взаимодействие с Windows Security Center.
Благодаря этому пользователь не замечает отключения Microsoft Defender, а вместо него работающим отображается антивирус Avast, на самом деле неустановленный на хосте.
Также вредоносная ПО создает и запускает исполняемый файл enc-build.exe - программу-вымогатель Pay2Key, упакованную Themida.
В свою очередь, Pay2Key задействует утилиту Everything для быстрого сканирования директорий и файлов.
Найденные файлы шифруются, и к ним добавляется расширение, состоящее из нескольких символов. В конце программа-вымогатель демонстрирует жертве записку о выкупе.
За основу для создания Pay2Key взята другая известная программа-вымогатель - Mimic.
По данным BI.ZONE, Fluffy Wolf продолжает активно атаковать компании в России.
Только за летний период выявлено более 18 атак с Purelogs Stealer, PureHVNC, PureRAT и Pay2Key.
При этом злоумышленники часто рассылают фишинговые письма от имени известных организаций или ссылаются на них.
Преступники используют узнаваемые логотипы и элементы фирменного стиля, чтобы повысить доверие пользователей и побудить их открыть письмо.
Технические подробности и IOCs активности Fluffy Wolf - ранее упоминались в отчете.
Атакующие рассылали фишинговые письма от имени сотрудников магазина сантехники, к которым прикрепляли «акт сверки» - PNG с гиперссылкой, ведущей на RAR-архив с загрузчиком akt_BUH_1C_PDF.com.
akt_BUH_1C_PDF.com после запуска расшифровывает полезную нагрузку и внедряет ее в адресное пространство InstallUtil.exe.
В данном случае в ее роли выступили Purelogs Stealer + PureRAT.
Для обхода антивирусной защиты вредоносная ПО использует инструмент для отключения Microsoft Defender NO DEFENDER.
Он не только отключает встроенную защиту Windows, но также для компрометации Microsoft Defender и Windows Security Center регистрирует в системе легитимные компоненты антивируса Avast: wsc.dll и wsc_proxy.exe (Avast Remediation), который отвечает за взаимодействие с Windows Security Center.
Благодаря этому пользователь не замечает отключения Microsoft Defender, а вместо него работающим отображается антивирус Avast, на самом деле неустановленный на хосте.
Также вредоносная ПО создает и запускает исполняемый файл enc-build.exe - программу-вымогатель Pay2Key, упакованную Themida.
В свою очередь, Pay2Key задействует утилиту Everything для быстрого сканирования директорий и файлов.
Найденные файлы шифруются, и к ним добавляется расширение, состоящее из нескольких символов. В конце программа-вымогатель демонстрирует жертве записку о выкупе.
За основу для создания Pay2Key взята другая известная программа-вымогатель - Mimic.
По данным BI.ZONE, Fluffy Wolf продолжает активно атаковать компании в России.
Только за летний период выявлено более 18 атак с Purelogs Stealer, PureHVNC, PureRAT и Pay2Key.
При этом злоумышленники часто рассылают фишинговые письма от имени известных организаций или ссылаются на них.
Преступники используют узнаваемые логотипы и элементы фирменного стиля, чтобы повысить доверие пользователей и побудить их открыть письмо.
Технические подробности и IOCs активности Fluffy Wolf - ранее упоминались в отчете.
BI.ZONE
«Давайте сверимся»: как Fluffy Wolf использует акты сверки в атаках
Группировка действует просто, но эффективно: фишинговая рассылка для первоначального доступа, а в ней — исполняемый файл. Так Fluffy Wolf получает удаленный доступ, крадет учетные данные или использует ресурсы взломанной инфраструктуры для майнинга
1 56 9.3K
Обсуждение 1
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram