Эти поддельные объявления о работе в правительстве США распространяют больше вредоносного ПО

Эти поддельные объявления о работе в правительстве США распространяют больше вредоносного ПО

4 октября 2022 г.

Киберпреступники охотятся на соискателей в США и Новой Зеландии, чтобы распространять маяки Cobalt Strike, а также другие вирусы и вредоносное ПО.

Исследователи из Cisco Talos утверждают, что неизвестный злоумышленник рассылает по электронной почте несколько фишинговых приманок, предполагая, что личность Управления по управлению персоналом США (OPM), а также Ассоциации государственной службы Новой Зеландии (PSA).

В электронном письме жертве предлагается загрузите и запустите прикрепленный документ Word, утверждая, что он содержит более подробную информацию о вакансии.

Удаленное выполнение кода

Документ пронизан макросами, которые при запуске используют известную уязвимость, отслеживаемую как CVE-2017-0199, ошибку удаленного выполнения кода, исправленную в апреле 2017 года. Запуск макроса приводит к тому, что Word загружает шаблон документа из репозитория Bitbucket. . Затем шаблон выполняет серию сценариев Visual Basic, которые, следовательно, загружают файл DLL с именем «newmodeler.dll». Эта DLL на самом деле является маяком Cobalt Strike.

Есть и другой, менее сложный метод распространения, при котором загрузчик вредоносного ПО загружается непосредственно из Bitbucket.

С помощью маяка Cobalt Strike злоумышленники могут удаленно выполнять различные команды на скомпрометированной конечной точке, красть данные и перемещаться по сети в горизонтальном направлении, отображая ее и находя более конфиденциальные данные.

Подробнее

> Поддельные предложения работы Crypto.com разработчиков и художников для распространения вредоносных программ

> Этот последний мошеннический проект LinkedIn рассылает поддельные предложения о работе, чтобы заманить жертв

> Познакомьтесь с лучшими брандмауэрами

Исследователи утверждают, что маяки взаимодействуют с сервером Ubuntu, размещенным на Alibaba и расположенным в Нидерландах. Он содержит два самозаверяющих и действительных SSL-сертификата.

Cisco не назвала имена участников этой кампании, но есть одно известное имя, которое в последнее время участвовало в многочисленных кампаниях по поддельным вакансиям, и это Lazarus Group.

Печально известный северокорейский субъект угроз, спонсируемый государством, нацелился на разработчиков блокчейна, художников, работающих с невзаимозаменяемыми токенами (NFT), а также на экспертов в области аэрокосмической промышленности и политических журналистов с поддельными работами, крадущих криптовалюты и ценную информацию. .

Через: BleepingComputer

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE