Киберпреступники распространяют вредоносы через контактные формы на web-сайтах
Специалисты компании Microsoft выявили вредоносную кампанию, в рамках которой злоумышленники используют контактные формы на легитимных web-сайтах с целью распространения вредоносного ПО IcedID среди различных компаний и предприятий.
Метод атак является простым и основан на использовании автоматических скриптов для посещения web-сайтов легитимных предприятий и заполнения контактных форм с фиктивными юридическими угрозами. В электронных письмах получателям предлагается щелкнуть ссылку для просмотра предполагаемых свидетельств, лежащих в основе их обвинений. При нажатии на ссылку получатель попадает на страницу Google, где от него требуется войти в систему со своими учетными данными. Из-за добавленного уровня аутентификации системы защиты могут вообще не идентифицировать электронную почту как вредоносную.
После того, как получатель электронной почты входит в систему, страница sites.google.com автоматически загружает вредоносный ZIP-архив с файлом.js. Вредоносный файл выполняется через WScript для создания объекта оболочки, запуска PowerShell-скрипта и загрузки вредоноса IcedID (файл.dat), который расшифровывается DLL-загрузчиком или маяком Cobalt Strike и позволяет злоумышленникам удаленно управлять компьютером.
Поскольку электронные письма приходят с сайтов компаний, в которых работают сотрудники, они не подозревают о возможной кибератаке.
Вредоносное ПО IcedID было обнаружено в 2017 году и в настоящее время используется для предоставления доступа к зараженным сетям другим группировкам киберпреступников. Системы, зараженные IcedID, использовались для установки программ-вымогателей в корпоративных сетях, таких как Maze и Egregor.
Хотя в рамках данной кампании распространяется вредоносное ПО IcedID, метод может использоваться для распространения широкого спектра других вредоносных программ. IcedID представляет собой банковский троян, который превратился в точку входа для более опасных киберугроз. Он подключается к C&C-серверу и загружает дополнительные имплантаты и инструменты, позволяющие злоумышленникам выполнять атаки, красть учетные данные и перемещаться по пораженным сетям.