Emmenhtal: новое слово в искусстве цифрового обмана
Как киберпреступники используют легальные технологии для своих целей.
Компания Sekoia опубликовала отчет , в котором описан относительно новый сервис загрузчика вредоносных программ под названием Emmenhtal. Главной особенностью этого вредоносного ПО является использование скомпрометированных серверов WebDAV для размещения полезных нагрузок своих клиентов.
Emmenhtal, известный также как PeakLight, распространяет различные вредоносные программы, такие как инфостилеры, по всему миру. С момента появления в декабре 2023 года он активно привлекает внимание специалистов в области кибербезопасности благодаря своему скрытному подходу. Загрузчик функционирует исключительно в памяти, что затрудняет его обнаружение и анализ.
Команда Sekoia провела расследование инфраструктуры, используемой для распространения Emmenhtal, и выявила, что вредоносные файлы размещаются на серверах WebDAV. WebDAV, являясь расширением протокола HTTP, позволяет управлять файлами на веб-серверах, что делает его полезным для легальных задач. Однако злоумышленники все чаще используют эту технологию для своих целей. В рамках этой схемы пользователи перенаправляются на сервер WebDAV, где через специально подготовленные файлы, такие как «.lnk», загружаются вредоносные программы.
Особое внимание привлекает способ распространения через использование легитимного системного файла «mshta.exe», который предназначен для выполнения HTML-приложений. Применение таких доверенных системных файлов позволяет злоумышленникам обходить защитные механизмы и скрывать свои действия. В анализируемой инфраструктуре Sekoia было выявлено более 100 серверов WebDAV, через которые распространяются вредоносные файлы.
Кроме того, эксперты обнаружили, что через эту инфраструктуру распространяются различные семейства вредоносных программ, включая SelfAU3, DarkGate, Amadey и другие. Это свидетельствует о том, что инфраструктура может предлагаться в качестве сервиса для других злоумышленников, предоставляя возможность аренды серверов и инструментов для размещения и доставки вредоносных программ.
На протяжении нескольких месяцев инфраструктура Emmenhtal использовала одни и те же автономные системы (AS) для хостинга серверов WebDAV, что может свидетельствовать о централизованном характере этой операции. В числе используемых AS оказались компании Terasyst Ltd, Zonata и другие, что может говорить о надежных договоренностях с провайдерами.
Выводы Sekoia указывают на то, что инфраструктура Emmenhtal, вероятно, представляет собой коммерческую услугу, предоставляемую киберпреступной группировкой. Она предлагает инфраструктуру для размещения и распространения множества различных вредоносных программ.