Теперь хакеры не только обкрадывают жертву, но и вымогают у неё деньги.
Исследователи кибербезопасности из ИБ-компании Trend Micro опубликовали новый анализ , согласно которому операторы инфостилеров RedLine и Vidar начали использовать вымогательское ПО в своих фишинговых кампаниях. Атаки начинаются с фишинговых писем, которые распространяют вредоносные вложения, маскирующиеся под PDF или JPG файлы.
Специалисты отмечают, что в одном расследованном инциденте неназванная жертва сначала загрузила инфостилер, подписанный сертификатами подписи кода расширенной проверки (Extended Validation Certificate, EV), а затем — программу-вымогатель, которая была доставлена тем же способом.
Цепочка заражения инфостилером
Стоит отметить, что, в отличие от образцов инфостилера, файлы, использованные для развертывания программы-вымогателя, не имели сертификатов EV. Однако оба типа вредоносного ПО исходят от одного и того же субъекта угрозы и распространяются одним и тем же способом, что позволяет предположить разделение труда между «поставщиком» полезной нагрузки и операторами.
RedLine Stealer — это тип вредоносного ПО, предназначенного для кражи чувствительной информации с заражённых компьютеров. Инфостилер может похищать пароли, данные форм, куки и другую информацию из веб-браузеров, а также собирать данные из FTP-клиентов и мессенджеров. RedLine часто распространяется через фишинговые кампании или вредоносные вложения в электронной почте. Он может работать в сочетании с другими видами вредоносного ПО и использоваться в многоэтапных атаках.
Vidar — это инфостилер, который похищает с целевого компьютера учетные данные, информацию о кредитных картах, пароли и другие личные данные. Vidar часто распространяется через фишинговые кампании, вредоносные рекламные объявления или в комплекте с другим вредоносным ПО. В отличие от некоторых других инфостилеров, Vidar также может собирать дополнительную информацию о системе жертвы, что может быть полезно для последующих атак. Vidar относительно новый на арене вредоносного ПО, но уже зарекомендовал себя как эффективный и опасный инструмент для киберпреступников.
Источник: securitylab