Обнаружен новый вредонос, крадущий секретную информацию из популярных браузеров.
Лаборатория FortiGuard Labs компании Fortinet обнаружила новую фишинговую кампанию под названием Vcurms. Злоумышленники, стоящие за разработкой этого ПО, используют электронную почту в качестве командного центра, а также публичные сервисы, такие как AWS и GitHub, для хранения вредоносного кода.
Кампания в первую очередь нацелена на платформы с установленной Java, представляя угрозу для любой организации, использующей такие системы. Успешное внедрение предоставляет злоумышленникам полный контроль над скомпрометированными сетями.
Пользователь должен скачать вредоносный Java-загрузчик, который служит вектором для распространения самого Vcurms и трояна STRRAT. Вредоносные письма обычно маскируются под легитимные запросы с призывами проверить платежную информацию и загрузить файлы, размещенные на AWS.
После установки вредонос применяет классические фишинговые техники, в том числе поддельные имена и зашифрованные строки, для сокрытия своей вредоносной природы. Особо примечательно, что софт использует класс "DownloadAndExecuteJarFiles.class" для загрузки и выполнения дополнительных JAR-файлов, расширяя возможности злоумышленников.
Компонент Vcurms в виде удаленной программы-трояна (RAT) связывается с командным центром через электронную почту, демонстрируя высокий уровень технической изощренности. Она обеспечивает персистентность, копируя себя в папку автозагрузки, идентифицирует и отслеживает жертв с помощью кейлоггинга и функции восстановления паролей.
Кроме того, вредоносное ПО использует передовые инструменты обфускации, например обфускатор Branchlock, чтобы избежать обнаружения и анализа. Несмотря на все трудности, исследователи продолжают разрабатывать способы деобфускации и изучать принципы работы Vcurms.
Vcurms крайне схож вредоносным ПО Rude Stealer, но отличается уникальными методами передачи информации. При этом основной его целью является извлечение конфиденциальных данных из часто используемых браузеров, включая Chrome, Brave, Edge, Vivaldi, Opera, OperaGX, Firefox, а также из таких приложений, как Discord и Steam.
В ответ на угрозу Vcurms FortiGuard Labs в своем блоге рекомендует принять ряд профилактических мер. В первую очередь, необходимо развернуть обновленные решения кибербезопасности и произвести сегментацию сети. Кроме того, крайне важно следовать надлежащим практикам обращения с паролями, а также проявлять осторожность при работе с вложениями электронной почты, чтобы снизить риск заражения.
Одно найти легче, чем другое. Спойлер: это не темная материя