Новая вредоносная атака на отельный бизнес: как злоумышленники обманывают сотрудников через фишинг и BSOD

По данным Helpnetsecurity, в сфере гостеприимства обнаружена новая атака, направленная на распространение шпионского ПО DCRat. Атакующие используют фишинговые письма, имитирующие уведомления от Booking.com, а также поддельные экраны ошибок Windows (BSOD), чтобы обмануть пользователей и запустить вредоносный код.

Целью атаки становятся сотрудники отельной индустрии. В письмах указываются детали расходов на проживание в евро, что делает европейские компании вероятными мишенями. Исследователи Securonix отмечают, что злоумышленники способны адаптировать схему для других секторов экономики.

Методы атаки включают следующие этапы:

1. Пользователю приходит фишинговое письмо, имитирующее уведомление о списании средств за проживание.
2. В письме присутствует кнопка или ссылка «See Details», ведущая на поддельный сайт, идентичный официальному Booking.com.
3. На сайте через JavaScript открывается всплывающее окно с предложением обновить страницу.
4. Пользователь переходит в полноэкранный режим и видит фейковый экран синей ошибки Windows (BSOD), в котором ему предлагается выполнить действия для восстановления.
5. Злоумышленники инструктируют пользователя открыть диалоговое окно «Выполнить» и ввести вредоносную команду PowerShell.
6. После выполнения команды открывается фейковая страница администратора Booking.com, а в фоновом режиме загружается и запускается вредоносный файл с расширением .proj с помощью утилиты MSBuild.exe.
7. Вредоносный код подавляет работу Windows Defender, чтобы скрыть присутствие DCRat, и создаёт ярлык в папке автозагрузки для постоянного запуска.

DCRat предоставляет злоумышленникам возможность:

• записывать нажатия клавиш;
• загружать дополнительные вредоносные нагрузки;
• получать удалённый доступ к заражённым системам.

Исследователи Securonix отмечают, что злоумышленники применяют тактику Living off the Land, используя доверенные системные утилиты, такие как MSBuild.exe, для выполнения вредоносных действий. Это позволяет избежать обнаружения стандартными средствами безопасности.

В прошлом для подобных атак использовались HTML-приложения (.hta) и утилита mshta.exe, которые запускали вредоносные скрипты. Однако эти методы были менее скрытыми, так как содержали прямые ссылки на вредоносные файлы. Нынешняя схема основана на более сложных техниках, что делает её менее заметной для автоматизированных систем защиты.

Ключевым элементом атаки остаётся социальная инженерия, в частности, техника ClickFix, которая эффективно заставляет пользователей выполнять действия, необходимые для запуска вредоносного кода. Эксперты рекомендуют организациям:

• обучать сотрудников методам социальной инженерии;
• отслеживать необычную активность утилиты MSBuild.exe и других системных бинарников;
• следить за созданием подозрительных файлов в папках %ProgramData% и автозагрузки;
• включить логирование PowerShell для отслеживания подозрительных команд.

Важно отметить, что злоумышленники не ограничиваются одной схемой. Они могут адаптировать атаку под другие отрасли, используя аналогичные методы и инструменты. Это делает их угрозу актуальной для широкого круга организаций.

Интересно: Как обеспечить защиту от атак, использующих доверенные системные утилиты, и минимизировать риски, связанные с человеческим фактором в условиях растущей сложности вредоносных сценариев?

i

Создано специально для ASECTOR

Концептуальное изображение

Атака на доверие: как злоумышленники используют человеческий фактор

Недавняя атака на инфраструктуру гостиничной отрасли, описанная исследователями Securonix, демонстрирует, что киберпреступники всё чаще сосредотачиваются на человеческом факторе. Вместо поиска новых уязвимостей в ПО они используют доверенные системные утилиты, такие как MSBuild.exe и PowerShell, чтобы запустить вредоносный код. Это позволяет им обойти стандартные механизмы обнаружения, поскольку такие инструменты не воспринимаются как угроза. В данном случае злоумышленники распространяли вредоносное ПО DCRat, используя фишинговые письма, имитирующие уведомления от Booking.com, и поддельные экраны ошибок Windows (BSOD), чтобы запустить вредоносный сценарий [!].

Когда доверие становится уязвимостью

Атакующие не ограничиваются только одной отраслью. Как показывают данные из других исследований, фишинговые атаки становятся всё более изощрёнными и применяются в разных форматах. Например, злоумышленники используют поддельные уведомления о заблокированных письмах, требующих «освобождения» через клик по ссылке, или имитируют уведомления о нарушении авторских прав, чтобы запустить вредоносное ПО Noodlophile [!]. Такие схемы эффективны, потому что они создают ощущение срочности и легитимности, что заставляет пользователей действовать без анализа рисков.

Важный нюанс: Злоумышленники всё чаще применяют технику ClickFix, которая позволяет им манипулировать поведением пользователя, заставляя его выполнить действия, необходимые для запуска вредоносного кода. Такая тактика была зафиксирована в атаке ClickFix, где пользователей обманывали, показывая фальшивые уведомления о срочном обновлении Windows, в результате чего на устройства устанавливались вредоносные программы LummaC2 и Rhadamanthys [!].

Почему это сложно обнаружить

Особенность современных атак заключается в том, что злоумышленники используют легитимные системные утилиты, такие как PowerShell и MSBuild, что делает их менее заметными для автоматизированных систем защиты. Вместо прямого запуска вредоносных файлов, они внедряют их в легитимные процессы, что позволяет обойти антивирусные сканеры. Такой подход был зафиксирован в атаках, где злоумышленники использовали PowerShell для расшифровки скрытых нагрузок и запуска вредоносного кода без активного срабатывания систем безопасности [!].

Кроме того, фишинг остаётся одним из основных методов получения неавторизованного доступа к системам. По данным исследований, более 70% успешных атак связаны с фишингом, особенно если пользователь не применяет двухфакторную аутентификацию [!]. Это делает сотрудников уязвимыми даже при наличии обновлённых антивирусных решений, поскольку угроза исходит не от вредоносного ПО, а от действий самого пользователя.

Что делать, чтобы снизить риски

Для минимизации рисков, связанных с подобными атаками, необходимо внедрять комплексные меры, включающие как технические, так и организационные аспекты. Эксперты рекомендуют:

• Обучать сотрудников признакам фишинга и методам социальной инженерии. Это особенно важно, учитывая, что более 35% случаев инфицирования шифровальщиками начинаются именно с фишинга [!].
• Отслеживать необычную активность утилиты MSBuild.exe и других системных бинарников. Это позволяет выявлять аномалии на ранних этапах.
• Следить за созданием подозрительных файлов в папках %ProgramData% и автозагрузки. Такие действия могут указывать на попытку установки вредоносного ПО.
• Включить логирование PowerShell для отслеживания подозрительных команд. Это помогает обнаружить атаки, использующие скрипты для запуска вредоносного кода [!].

Долгосрочные стратегические изменения

Рост числа атак, использующих доверенные системные утилиты и социальную инженерию, требует пересмотра подходов к кибербезопасности. Особенно это касается малых и средних компаний, которые становятся всё чаще мишенями злоумышленников. Розничная торговля, например, уже стала одной из наиболее часто атакуемых отраслей [!]. Это связано с тем, что защита крупных организаций стала более надежной, а методы атак эволюционировали в сторону кражи данных вместо шифрования.

Вывод: Для бизнеса ключевым становится внедрение систем, которые не только обнаруживают угрозы, но и обучают сотрудников распознавать подозрительные действия. Искусственный интеллект и машинное обучение могут помочь в этом, но они не заменят опыт киберспециалистов [!]. Компаниям важно создавать культуру безопасности, где каждый сотрудник понимает свою роль в защите корпоративных данных.