Новая сложная кампания ransomware, приписываемая группе LeakNet, использует многоэтапную цепочку заражения, которая начинается со скомпрометированных легитимных веб-сайтов. Исследователи кибербезопасности выявили новый вектор атаки, при котором жертвы перенаправляются на вредоносные сайты, размещающие поддельную утилиту обновления программного обеспечения под названием «ClickFix». Эта социально-инженерная приманка побуждает пользователей загрузить и выполнить вредоносный пакет, что является критическим первым шагом в атаке. Кампания демонстрирует значительную эволюцию в методах первоначального доступа, отходя от зависимости от фишинговых писем к эксплуатации доверенных веб-доменов, тем самым повышая вероятность согласия пользователя и обходя традиционные фильтры безопасности электронной почты.
При выполнении пакет ClickFix инициирует сложную последовательность развертывания, предназначенную для уклонения от обнаружения. Основой этой последовательности является использование Deno — безопасной среды выполнения для JavaScript и TypeScript, обычно используемой разработчиками, в качестве загрузчика в памяти для окончательной полезной нагрузки ransomware. Используя легитимную функциональность Deno для получения и выполнения удаленных скриптов, злоумышленники могут запускать вредоносный код непосредственно в памяти системы без записи постоянного файла на диск. Эта техника выполнения без файлов представляет собой серьезную проблему для традиционных антивирусных решений, которые полагаются на сканирование сигнатур файлов, позволяя вредоносному ПО скрытно работать в среде жертвы.
Конечная полезная нагрузка, доставляемая этим загрузчиком в памяти, идентифицирована как ransomware LeakNet. Это вредоносное ПО выполняет типичные операции ransomware, включая шифрование файлов и эксфильтрацию конфиденциальных данных, что соответствует тактике двойного шантажа, ставшей обычным явлением среди групп ransomware. Злоумышленники угрожают опубликовать украденные данные на сайтах утечек, если выкуп не будет выплачен. Использование легитимного инструмента, такого как Deno, в качестве компонента атаки подчеркивает растущую тенденцию в киберпреступности: стратегию «жить за счет земли» (LotL), при которой злоумышленники злоупотребляют доверенным, предустановленным программным обеспечением или обычными инструментами разработки, чтобы смешать вредоносную деятельность с обычными операциями системы, что еще больше затрудняет обнаружение и судебно-медицинский анализ.
Организации должны усилить свою оборону против таких современных угроз. Ключевые рекомендации включают внедрение надежной веб-фильтрации для блокировки доступа к известным вредоносным и недавно скомпрометированным доменам, обучение пользователей опасностям загрузки непрошеного программного обеспечения — даже с seemingly legitimate websites — и развертывание решений для обнаружения и реагирования на конечных точках (EDR), способных отслеживать подозрительную активность в памяти и поведение процессов. Эта кампания служит stark reminder о том, что ландшафт угроз постоянно развивается, а противники innovating свои методы для эксплуатации как технологических пробелов, так и человеческого доверия.
