Microsoft предупреждает о возобновлении кампании по распространению программы-вымогателя BazarLoader по электронной почте

кампания вредоносного ПО использует простые приемы
В наши дни не все должно быть высокотехнологичным, чтобы совершать подлые дела, и то же самое можно сказать и о вредоносных программах . Тем не менее, как сообщает Microsoft , вредоносное ПО может проскользнуть через обычные решения безопасности , используя некоторые приемы электронной почты и социальную инженерию, и по-прежнему заражать конечных пользователей .
Во вторник Microsoft Security Intelligence сообщила в Твиттере , что отслеживаются несколько «активных почтовых кампаний, использующих BazarLoader для доставки широкого спектра полезной нагрузки». Было обнаружено, что в этих кампаниях используются некоторые интересные методы, чтобы обойти то, что Microsoft описывает как «обычные решения для безопасности электронной почты и лучшие практики».

Вредоносная кампания camp1 использует простые приемы

Первая зарегистрированная кампания называется «BazaCall», в ней используются телефонные номера, а не вредоносная ссылка. Затем пользователи звонят по номеру, и их обманом заставляют загрузить BazarLoader через вредоносный файл Excel с поддержкой макросов. Как только этот файл открыт, BazarLoader устанавливает свою полезную нагрузку, в данном случае Cobalt Strike, предоставляя злоумышленнику практический контроль.

Вредоносная кампания camp2 использует простые приемы

Еще одна кампания скрывается под видом DMCA, в рамках которой пользователям отправляется электронное письмо с заявлением о нарушении авторских прав с «украденными изображениями». Когда пользователь щелкает ссылку в электронном письме, загружается ZIP-папка, содержащая файл javascript, который при открытии загружает BazarLoader. Опять же, полезная нагрузка устанавливается, и злоумышленник получает доступ к машине.

Вредоносная кампания camp3 использует простые приемы

Третья и последняя кампания, о которой сообщила Microsoft, использует «скомпрометированные учетные записи для захвата потоков электронной почты и прикрепления документа Word в защищенном паролем ZIP-файле». Когда документ открыт, содержащиеся в нем макросы приводят к загрузке BazarLoader, который снова загружает и устанавливает полезную нагрузку.

В кампании твита 2 используются простые приемы

Одной из общих черт между этими кампаниями является BazarLoader, который, как поясняет Microsoft, представляет собой «вредоносное ПО первой стадии, позволяющее удаленным злоумышленникам получить контроль над уязвимым устройством, эксфильтровать данные и установить полезную нагрузку программ-вымогателей, особенно Conti ». Однако, как сообщается, Microsoft 365 Defender будет обнаруживать вредоносные вложения и URL-адреса, в то время как «Microsoft Defender для конечной точки обнаруживает вредоносные программы и другие вредоносные артефакты и поведение».

Хотя Microsoft Defender может быть хорошим решением, обучение конечных пользователей также имеет решающее значение для защиты от вредоносных кампаний. Например, если бы люди не нажимали случайные ссылки и не проверяли номера телефонов или информацию, содержащуюся в электронных письмах, для обеспечения легитимности, с этим было бы меньше проблем. Будем надеяться, что со временем люди освоят даже самые простые трюки.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал