GTIG опубликовали отчет об использовании инструментов ИИ злоумышленниками
Согласно отчету Google Threat Intelligence Group, злоумышленники начали интегрировать искусственный интеллект непосредственно в код вредоносов. GTIG идентифицировали вредоносное ПО PROMPTFLUX и PROMPTSTEAL, использующее большие языковые модели (LLM) в процессе выполнения. Они динамически генерируют вредоносные скрипты, обфусцируют собственный код для уклонения от обнаружения и используют ИИ-модели для создания вредоносных функций по запросу, вместо того чтобы встраивать их в код заранее. Также злоумышленники всё чаще используют социальную инженерию при создании запросов к ИИ для более эффективной генерации вредоносного кода. Для защиты рекомендуется использовать инструменты поведенческого анализа и отказываться от слепого исполнения команд, сгенерированных внешними ИИ-моделями.Использование расширения VS Code для программ-вымогателей
Специалисты компании Pulsedive изучили цепочку заражения, используемую северокорейской группировкой Kimsuky. Атака начинается с JS-файла Themes.js. При его запуске скрипт декодирует и извлекает вредоносную нагрузку в файловой системе жертвы. На следующем этапе дроппер загружает ZIP-архив, содержащий исполняемый файл, который маскируется под легитимный компонент. Для успешного сохранения в системе вредонос регистрирует задачу в планировщике Windows, что позволяет ему закрепиться при перезагрузке системы. Этот многоступенчатый подход позволяет злоумышленникам эффективно обходить стандартные средства защиты и разворачивать шпионское ПО на целевых компьютерах. Для защиты рекомендуется ограничить использование wscript.exe и cscript.exe вне доверенных сценариев и провести обучение пользователей по работе с подозрительными файлами и веб-ресурсами.Gootloader возвращается с новой тактикой использования ZIP-файлов для сокрытия вредоносного ПО
Загрузчик Gootloader возобновил активность после семимесячного затишья, демонстрируя обновленную тактику. Конечная цель остаётся прежней: убедить жертв, заинтересованных в поиске юридических соглашений и шаблонов, загрузить вредоносный ZIP-архив, содержащий файл JScript, обеспечивающий первоначальный доступ. Злоумышленник проводит атаку избирательно — при соответствии необходимым критериям скрипт, добавленный на вредоносные сайты, скрывает настоящие имена файлов для скачивания с помощью веб-шрифта, заменяющего буквы похожими специальными символами. При нажатии на любую из этих ссылок скачивается вредоносный ZIP-архив с JScript-полезной нагрузкой. Gootloader использует поврежденные ZIP-архивы для распространения скриптов. При распаковке архива с помощью проводника извлекается файл с расширением .js, но, если воспользоваться VirusTotal, утилитой Python или 7-Zip, файл будет иметь расширение .txt. Для защиты рекомендуется избегать загрузки подозрительных файлов и проверять скачанные архивы.Новая фишинговая кампания нацелена на взломанные аккаунты Booking.com
Группа злоумышленников проводит целенаправленные фишинговые атаки на партнеров и клиентов платформы Booking.com.Атака начинается с отправки злоумышленником письма сотрудникам гостиниц — партнерам Booking.com с уведомлением о проблемах с бронированием. При переходе по URL-адресу из письма происходит переадресация на сайт, имитирующий интерфейс Booking.com. На нем предлагается выполнить команду в PowerShell по методу ClickFix (пользователя просят «скопировать и вставить» команду якобы для подтверждения доступа). Под предлогом проверки доступа предлагается скопировать и выполнить команду, которая, используя PowerShell-скрипт, загружает и устанавливает троян PureRAT. После взлома аккаунты сотрудников начинают использоваться для рассылки фишинга гостям отеля и партнёрам. В фишинговых сообщениях чаще всего просили обновить банковскую информацию. После ввода банковских данных происходила повторная оплата. Кроме того, злоумышленники развили направление продажи взломанных аккаунтов. При получении сообщений от сервиса с просьбой обновления данных рекомендуется связаться с отелем по номеру телефона и уточнить информацию напрямую, а также никогда не выполнять скопированные команды из веб-интерфейсов.