Легкий доступ к VPN в России через наш Телеграмм-бот:
|
Google Ads используется для проведения изощренной кампании.
В последние недели специалисты Threat Down наблюдают всплеск вредоносной рекламы в Google, нацеленной на IT-специалистов. Кампания направлена на то, чтобы получить доступ к системам жертв и похитить конфиденциальные данные.
Исследования показали использование единой инфраструктуры для распространения двух вредоносных программ: MadMxShell и WorkersDevBackdoor. Самым интересным открытием стало то, что C2-сервер MadMxShell напрямую связан с инфраструктурой доставки WorkersDevBackdoor. Обе вредоносные программы способны собирать и похищать конфиденциальные данные, а также предоставлять начальный доступ для операторов вымогательского ПО.
- MadMxShell, впервые описанный в апреле, распространяется через вредоносные объявления для сканеров IP. Программа использует перехват DLL (DLL hijacking) и DNS для связи с C2-сервером через OneDrive.exe.
- WorkersDevBackdoor имеет более сложную историю и была описана компанией eSentire. Особенность заключается в упаковке полезной нагрузки в архив, защищённый паролем. Полезная нагрузка привязана к троянам ThunderShell RAT и Parcel RAT. WorkersDevBackdoor работает через установщик NSIS с зашифрованным архивом 7z и размещает полезную нагрузку на Dropbox.
Большинство вредоносных объявлений связано со сканерами IP и перенаправляет на инфраструктуру, которую исследователи назвали goodgoog1e. Название происходит от адреса электронной почты злоумышленника, который связывает все домены вместе.
Лучший VPN-прокси для России доступен через наш Телеграмм-бот:
|
Вредоносные рекламные объявления Google
Все цепочки заражений исходят от одного источника (goodgoog1e), но от различных рекламных аккаунтов. Одно из объявлений использовалось для доставки обоих вредоносных программ через домен «angryipo[.]org».
MadMxShell использует несколько обфусцированных скриптов для загрузки полезной нагрузки, включая сложный скрипт, создающий однострочник для автоматической загрузки. WorkersDevBackdoor размещается на Dropbox с вращающимися URL-адресами (Rotating URL), динамически загружаемыми через «azureedge[.]net».
В недавней кампании C2-сервер MadMxShell сменился с «litterbolo[.]com» на «getstorege[.]com». Домен «getstorege[.]com» был зарегистрирован на тот же адрес электронной почты, что и для инфраструктуры доставки обеих вредоносных программ.
Один из образцов WorkersDevBackdoor включал скрипт PowerShell, проверяющий наличие определённых программ, таких как RDP, TeamViewer и другие, чтобы определить, завершать ли установку вредоносного ПО.
Скрипты PowerShell, которые проверяют, подключен ли компьютер к домену, позволяют злоумышленникам избегать тревоги в песочницах или виртуальных машинах. Это хорошее напоминание о том, что файл, просканированный статически или даже запущенный в песочнице, может оказаться легитимным просто потому, что не были выполнены условия для его правильного выполнения.
Приватность — это право, а не роскошь.
Подпишитесь на наш канал и защитите свои права
Топ VPN сервис — это не просто модный термин; это реальная необходимость для пользователей, которые хотят обеспечить свою безопасность и конфиденциальность в интернете. Выбор качественного VPN может значительно улучшить ваше онлайн-опыт, позволяя вам безопасно серфить в интернете, обходить блокировки и защищать свои данные.
Топовые VPN используют современные протоколы шифрования, такие как AES-256, что обеспечивает высокий уровень защиты данных от перехвата.
Многие из лучших VPN-сервисов придерживаются политики отсутствия логов (no-logs policy), что означает, что они не хранят информацию о действиях пользователей. Это обеспечивает дополнительную конфиденциальность.
Топовые VPN-сервисы предлагают надежную техническую поддержку, включая круглосуточный чат и подробные руководства по настройке.
