ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 —  злоумышленники используют GitHub для распространения фальшивых обновлений VS Code, многокомпонентная кампания с загрузчиком PhantomVAI, Torg Grabber: Эволюция нового инфостилера от Telegram до REST api C2, Kiss Loader: WebDAV, Python и Early Bird APC в одной цепочке заражения, конструктор приложений Bubble AI используется для фишинга.

1. Злоумышленники используют GitHub для распространения фальшивых обновлений VS Code

Исследователи Socket.dev выявили новую вредоносную кампанию, использующую GitHub Discussions для распространения вредоносного ПО. Злоумышленники публикуют обсуждения с заголовками о необходимости срочного обновления Visual Studio Code, ссылаясь на ложные критические уязвимости CVE. В этом же посте предлагается загрузить исправленную версию по внешним ссылкам. Атака начинается с перехода по URL-адресу в домене share.google, который перенаправляет активных пользователей на фишинговый сайт drnatashachinn[.]com. Страница содержит сценарий, который собирает информацию о браузере пользователя перед загрузкой вредоносного payload. Для защиты рекомендуется не переходить по сторонним ссылкам для обновления ПО.

2. Многокомпонентная кампания с загрузчиком PhantomVAI

Специалисты LevelBlue SpiderLabs выявили многоступенчатую кампанию по доставке вредоносного ПО после обнаружения файла Name_File.vbs. Аналитика представил, что загрузчик использует Unicode-обфускацию. PowerShell извлекал PNG с легитимного хостинга Internet Archive, в который внедрили Base64-кодированную .NET-сборку PhantomVAI. Она загружалась в память методом Reflection.Assembly::Load, после чего загрузчик декодировал параметры, ведущие к Remcos RAT и DLL, для обхода UAC. Инфраструктура домена news4me[.]xyz включала открытые директории с обфусцированными VBS-файлами под разные RAT. Альтернативный вектор в /invoice/ использовал ZIP с ярлыком-обманкой, который перенаправлял на TryCloudflare для загрузки пакетного файла 44rrr.bat. Комбинация VBS, PowerShell, .NET и Python в одной цепочке сохраняет работоспособность атаки при блокировке отдельных компонентов. Для защиты рекомендуется ограничить запускание скриптов.vbs и .bat.

3. Torg Grabber: Эволюция нового инфостилера от Telegram до REST api C2

Анализ двоичного файла, ошибочно классифицируемого как Vidar, позволил исследователям Gen Digital выявить новый инфостилер Torg Grabber. За три месяца вредонос прошел несколько этапов развития: от ПО, собирающего учетные данные и пересылающего их в приватный Telegram-канал, до полноценного REST программный оболочку C2 через HTTPS. Многоступенчатая цепочка загрузки использует дропперы, которые скачивают загрузчики и передают конфигурации пользователей через переменные окружения. Самораспаковывающийся загрузчик выполняет декодирование и внедряет шелл-код. Torg Grabber осуществляет сбор данных из браузеров, криптовалютных кошельков, а равным образом извлекает информация из 850 расширений. Ключевая особенность Torg Grabber — использование модели MaaS, по которой разработчик предоставляет вредоносный файл, а операторы корректируют его под свои задачи.

4. Kiss Loader: WebDAV, Python и Early Bird APC в одной цепочке заражения

Исследователи G DATA Software выявили загрузчик Kiss Loader, использующий многоступенчатую цепочку заражения. Процедура начинается с файла Windows Internet Shortcut, который инициирует подключение к WebDAV-ресурсу через туннель TryCloudflare. WebDAV содержит дополнительный ярлык, при активации которого запускается сценарий WSH, запускающий компонент JScript. Последующее выполнение JScript загружает пакетный файл для отображения PDF-приманки, закрепления через автозагрузку и загрузки архива. Извлеченный из архива Python-загрузчик «Kiss Loader» расшифровывает полезные нагрузки с использованием ключей из JSON-файлов. Завершающий этап характеризуется инъекцией кода в explorer.exe через технику Early Bird APC. Для защиты рекомендуется проверять посещаемость WebDAV и отключить автоматическое выполнение файлов .url.

5. Конструктор приложений Bubble AI используется для фишинга

Специалисты «Лаборатории Касперского» выявили новую тактику злоумышленников, которые адаптировали AI-платформу Bubble для создания фишинговых веб-приложений. Сгенерированные на платформе сайты размещаются на легитимных серверах платформы по адресам вида %name%.bubble.io, что позволяет обходить почтовые фильтры. Технической особенностью является использование массивного JavaScript-кода с изолированными структурами Shadow DOM, генерируемого nocode-конструктором, что затрудняет автоматический анализ и классификацию страницы как вредоносной. Вместо прямой доставки фишингового контента Bubble-приложение выполняет функцию промежуточного редиректора, перенаправляя жертву на финальную страницу сбора учетных данных. Код Bubble-приложения не содержит явных признаков вредоносной активности, что делает его фактически неотличимым от легитимных сайтов. Эффективная безопасность требует обучения сотрудников и использования шлюзовых продуктов с расширенными антифишинговыми технологиями.