Групповые политики и вредоносные скрипты: Qilin нашёл новую лазейку для кражи данных
Пользователи Google Chrome подверглись тайному сбору логинов и паролей.
Исследователи из компании Sophos обнаружили атаку с использованием программы-вымогателя Qilin, в ходе которой злоумышленники похитили данные учётных записей, хранящихся в браузере Google Chrome на ряде скомпрометированных устройств.
Инцидент был выявлен в июле 2024 года и привлёк внимание экспертов своей необычной комбинацией методов — кражей учётных данных в сочетании с последующим заражением программой-вымогателем, что может иметь серьёзные последствия.
Атака началась с проникновения в сеть целевой организации через скомпрометированные учётные данные для доступа к VPN-порталу, который не был защищён многофакторной аутентификацией (MFA). Злоумышленники приступили к дальнейшим действиям лишь через 18 дней после первоначального взлома.
После того как преступники получили доступ к доменному контроллеру, они внесли изменения в политику домена, добавив туда два объекта групповой политики (GPO). Первый из них — это PowerShell-скрипт под названием «IPScanner.ps1», который предназначен для сбора данных учётных записей, хранящихся в браузере Chrome. Второй — пакетный скрипт («logon.bat»), который активирует выполнение первого скрипта.
Согласно исследованию, этот объект групповой политики оставался активным в сети более трёх дней. За это время пользователи, не подозревая о происходящем, при каждом входе в систему запускали скрипт, который собирал их учётные данные.
Злоумышленники похитили эти данные, а затем стёрли следы своей активности и зашифровали файлы в системе, оставив записку с требованиями выкупа в каждой папке. Факт кражи означает, что пострадавшим пользователям теперь необходимо изменить свои пароли на всех сторонних сервисах, где использовались скомпрометированные учётные данные.
Эксперты Sophos отмечают, что группы, занимающиеся программами-вымогателями, продолжают изменять свои методы и расширять арсенал техник. Если преступники начнут систематически добывать учётные данные, хранящиеся на конечных устройствах, это может открыть новую опасную страницу в истории киберпреступности.