Преступники используют образы виртуальных жестких дисков для распространения вредоносных программ

Эксперты Forcepoint зафиксировали новую фишинговую кампанию, в ходе которой распространяется вредоносное ПО с помощью файлов виртуальных жестких дисков.

Эти файлы обходят меры защиты для развертывания VenomRAT. Жертвы теряют конфиденциальные данные, поэтому будьте бдительны.

Преступники сейчас используют файлы образов виртуальных жестких дисков (.VHD) для размещения и распространения опасного вредоносного ПО, сообщают исследователи Forcepoint. В ходе углубленного анализа Forcepoint заявили, что наблюдали фишинговую кампанию, оформленную в виде заказа на покупку.

В приложении к электронному письму находится архив, который при распаковке показывает файл образа жесткого диска (.VHD). Когда жертва открывает файл, он монтируется как жесткий диск и запускает скрипт bat, включающий серию ухищрений, таких как мусорные символы, кодирование Base64 и шифрование AES.

Файл .BAT устанавливает удаленный доступный троян (RAT) Venom и запускает сценарий PowerShell, который использует сервис Pastebin для размещения сервера управления и команд (C2) и кражи украденных данных.

Обход решений по безопасности

Прашант Кумар (Prashant Kumar) из Forcepoint отметил, что злоумышленники выбрали файл VHD для обхода любых решений по электронной почте или защиты конечных точек, которые могут быть установлены на устройстве жертвы.

«Злоумышленники всегда ищут новые способы доставки вредоносного ПО незамеченной для поражения больших сообществ», - сказал Кумар. «Я расскажу о текущей технике, которую злоумышленники используют для обхода мер безопасности, доставки вредоносного ПО, заражения систем и кражи данных – все это с помощью файла образа виртуального жесткого диска для размещения и распространения вредоносного ПО VenomRAT».

VenomRAT - это тип трояна, который позволяет киберпреступникам получить полный контроль над зараженной системой.

После установки он позволяет злоумышленникам удаленно выполнять команды, красть конфиденциальную информацию и управлять компьютером жертвы без ее ведома. Он обычно используется для регистрации нажатий клавиш и извлечения сохраненных учетных данных из веб-браузеров и приложений. Это вредоносное ПО также способно делать снимки экрана и активировать веб-камеры, использует различные механизмы постоянного действия и может развертывать дополнительное вредоносное ПО.

Из-за своих мощных возможностей VenomRAT часто распространяется через фишинговые электронные письма, вредоносные загрузки и эксплойт-киты, которые нацелены на уязвимости системы.