Виртуальное вино – реальные риски: вредонос WINELOADER предлагает дипломатам бокал за их безопасность

Виртуальное вино – реальные риски: вредонос WINELOADER предлагает дипломатам бокал за их безопасность

Как послы, решившие поучаствовать в дегустации, угождают в лапы шпионов.

image

Неизвестная хакерская группа, получившая название SPIKEDWINE, атакует послов из ряда европейских стран, где действуют индийские дипломатические миссии. Для реализации своих целей злоумышленники используют новый вредоносный бэкдор - WINELOADER.

Об этом сообщается в отчете компании Zscaler ThreatLabz . Согласно их данным, в рамках атак хакеры рассылали сотрудникам дипмиссий pdf-файлы, якобы от имени посла Индии. Эти письма содержали приглашения на дегустацию вин, намеченную на 2 февраля 2024 года.

Один из pdf-документов такого рода был загружен на ресурс VirusTotal 30 января 2024 года из Латвии. Вместе с тем есть основания полагать, что кампания могла начаться еще 6 июля 2023 года. На это указывает обнаружение еще одного похожего pdf из той же страны.

«Атака отличается небольшими масштабами и использованием продвинутых методов, техник и процедур как в самом вредоносном ПО, так и в инфраструктуре управления и контроля», - констатировали исследователи безопасности из Sudeep Singh и Roy Tay.

В pdf-файле содержится вредоносная ссылка, маскирующаяся под опросник. Адресатов просят заполнить анкету для участия в мероприятии. Переход по этой ссылке приводит к загрузке html-приложения («wine.hta») с обфусцированным javascript-кодом. Он предназначен для получения зашифрованного архива ZIP с вредоносной программой WINELOADER с того же домена.

Ядро WINELOADER включает модуль, который скачивает дополнительные элементы с командного сервера. Также он внедряется в сторонние dll-библиотеки и сокращает интервал времени между отправкой запросов.

Отличительной чертой этих кибератак является использование взломанных веб-сайтов в качестве серверов управления и для размещения вредоносного ПО. Предположительно, командные серверы принимают запросы от вредоносных программ только в определенное время и по специальному протоколу. Это делает атаки более скрытными и затрудняет их обнаружение.

Как отмечают исследователи, хакеры предприняли значительные усилия, чтобы замести свои следы. В частности, они избегали действий, которые могут привлечь внимание систем анализа памяти и автоматизированного сканирования URL-адресов.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь