Новости CDN как Орудие: CoralRaider показала новые методы кражи аккаунтов и криптовалюты

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.918
Репутация
62.390
Реакции
277.103
RUB
0
CoralRaider совершенствует вредоносные программы для обхода защиты.

image


Согласно новому отчету Cisco Talos, группировка CoralRaider использует CDN для распространения вредоносных программ в США, Великобритании, Германии и Японии. Кампания направлена на кражу учетных данных, финансовой информации и аккаунтов в соцсетях.


CoralRaider применяет широкодоступные на теневых форумах инфостилеры LummaC2, Rhadamanthys и Cryptbot, распространяемые по -модели (Ransomware-as-a-Service). На основании анализа предыдущих атак специалисты со «среднем уровнем уверенности» приписывают кампанию CoralRaider.

Заражение начинается с того, что жертва открывает архив с вредоносным LNK-ярлыком, который загружает и выполняет зашифрованное HTA-приложение с подконтрольного хакерам поддомена на платформе CDN Bynny. Используя кэш CDN в качестве сервера доставки вредоносного ПО, хакер избегает задержек запросов, а также обходит сетевую защиту.

Затем через ряд скриптов PowerShell и вспомогательных утилит, таких как FoDHelper.exe, происходит изменение системных настроек для обхода контроля пользовательских доступов (User Access Control, ) и добавление в исключения антивируса Windows Defender.


Цепочка заражения CoralRaider

Используемые версии вредоносных программ включают новые функции, такие как:

перехват данных RDP-сессий и восстановление «просроченных» cookie-файлов аккаунта Google (LummaC2 и Rhadamanthys);

усовершенствованная обфускация и механизмы антианализа (LummaC2 и Rhadamanthys);

расширенный перечень целевых приложений, включая менеджеры паролей и приложения для аутентификации, что угрожает и криптовалютным кошелькам с двухфакторной аутентификацией (CryptBot).


Приложения, на которые нацелена последняя версия Cryptbot

По мнению исследователей, группа CoralRaider, предположительно базирующаяся во Вьетнаме, активна с 2023 года и ранее использовала Telegram-бота для управления и эксфильтрации данных. Несмотря на то, что ранее атаки чаще сосредоточивались на азиатских и юго-восточноазиатских странах, последние операции охватывают более широкий круг стран, включая США, Нигерию, Пакистан, Эквадор, Египет, Великобританию, Польшу, Филиппины, Норвегию, Японию, Сирию и Турцию.







 
  • Теги
    cdn
  • Сверху Снизу