Романтический обман преподносит вредоносный код, скрытый в файле с «Прекрасными фотографиями»

Новая кибератака нацелена на немецкоязычную аудиторию и использует романтические аферы для взрослых, тайно доставляя вредоносное ПО.

Согласно Sublime Security, злоумышленники используют две обманчивые ссылки, чтобы соблазнить жертв, привлекая их романтичным письмом.

Первая ссылка выглядит как изображение предпросмотра видео, но вторая ссылка ведет к маскированному архивному файлу. Если на нее нажать, система проверяет, находится ли пользователь в Германии. Если это так, то с российского сервера загружается ISO-файл размером 300 МБ.

Исследователи объясняют, что злоумышленники используют Keitaro TDS, коммерческую систему распределения трафика, чтобы целенаправленно атаковать пользователей в рабочее время через эту вредоносную кампанию.

«Кейтаро может просматривать множество характеристик компьютера, отправлять запросы и обеспечивать пути подключения», — объяснила Sublime. Эта целенаправленная точность увеличивает шансы на успех.

После загрузки ISO-файл избегает обнаружения, увеличивая свой размер. Когда он монтируется, он открывает файл под названием ‘lovely_photos.exe’ и текстовый файл с паролем. Запуск файла просит пользователя ввести этот пароль, что вызывает извлечение откровенных изображений и нескольких вредоносных файлов.

Вредоносное ПО создает интерпретатор AutoIt для запуска тщательно замаскированного скрипта, разработанного для обхода антивирусного программного обеспечения. «Итоговый скрипт AutoIt обширно обфусцирован […] более 11 500 строк кода», отметила Sublime. Скрипт устанавливает себя в качестве запланированной задачи Windows под названием DragonMapper, гарантируя запуск вредоносного ПО каждый раз, когда пользователь входит в систему.

Эта кампания подчеркивает растущую сложность социальной инженерии и то, как злоумышленники теперь сочетают взрослые мошенничества с антианалитическими методами и законными инструментами, такими как AutoIt и Keitaro TDS, чтобы оставаться незамеченными.