Роскошное авто или троян? Хакеры из APT28 играют на ваших желаниях

RutoR

Support81

Original poster
Administrator
Сообщения
1 020
Реакции
204
Посетить сайт
Случайный клик по объявлению рискует обернуться атакой HeadLace.
image



Хакерская группа APT28 недавно начала новую кампанию по распространению вредоносного ПО HeadLace через поддельное объявление о продаже автомобиля. Кампания началась в марте 2024 года и, вероятно, нацелена на дипломатов.

Эта тактика не нова для киберпреступников. Уже несколько лет они используют фальшивые объявления о продаже люксовых автомобилей для привлечения внимания жертв и внедрения вредоносного кода.

9r13klzp2ouwctuoxxait4bb71014jwb.png

Поддельное объявление


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

специалистов

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, в ходе последней кампании, связанной с APT28, для размещения вредоносных файлов и ссылок использовались публичные и бесплатные сервисы. Так, подозрительная ссылка была размещена на легальном сервисе Webhook[.]site, позволяющем создавать рандомизированные

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

для различных целей. Этот функционал и был использован хакерами для распространения вредоносного

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

-документа.

При посещении этой ссылки алгоритмы на странице проверяют, использует ли компьютер операционную систему Windows. Если нет, пользователь перенаправляется на поддельное изображение, размещённое на бесплатном сервисе ImgBB. Однако в случае с Windows, HTML-документ создаёт ZIP-архив, содержащий вредоносные файлы, и предлагает его для скачивания.

Фальшивое объявление о продаже автомобиля (Audi Q7 Quattro) содержит контактные данные и информацию о продавце, якобы находящемся в Румынии, что должно придать предложению правдоподобности. Тем не менее, все эти данные фиктивны и служат только для привлечения внимания жертв.

Скачанный архив «IMG-387470302099.zip» содержит три файла, один из которых замаскирован под изображение, но на самом деле является исполняемым файлом, содержащим копию легитимного калькулятора из Windows — «calc.exe». Этот файл используется для загрузки вредоносной DLL-библиотеки «WindowsCodecs.dll», которая, в свою очередь, запускает файл «zqtxmo.bat», завершающий цепочку заражения.

APT28 активно использует бесплатные легитимные сервисы для размещения элементов атаки, что усложняет их обнаружение. Методы, использованные в этой кампании, соответствуют ранее задокументированным атакам этой группы, а вредоносное ПО HeadLace эксклюзивно связано с данной группой.

Чтобы защититься от подобных атак, рекомендуется ограничить доступ к популярным среди хакеров сервисам или же просто тщательно проверять их использование. Организации должны внимательно следить за бесплатными сетевыми ресурсами, чтобы оперативно выявлять возможные векторы атак.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
Название темы
Автор Заголовок Раздел Ответы Дата
B СКИДКИ 50% от @TRAVE1CAT - ОТЕЛИ, АВИАБИЛЕТЫ, ЭКСКУРСИИ, АРЕНДА АВТО Ищу работу. Предлагаю свои услуги. 0
OceanSide На проверке Отдых с "Ocean Side" Отели, Перелеты, Аренда авто за % Кардинг предложения 1
PurpleTeam ХИП-ХОП музыкальный микс | Музыка для авто 2023 Свободное общение и флейм 0
A Alice in The Land of Malware | ALICESHOPBOT (Сайт/Бот авто-продаж Telegram) Корзина 0
A Alice in The Land of Malware | SHOP SCAM (Сайт/Бот авто-продаж Telegram) Корзина 0
T От 200к рублей в месяц|КОНКУРС 77.777|АВТО-СКАМ|ЕВРОПА|БЫСТРЫЕ ВЫПЛАТЫ Предоставляю работу. Ищу специалиста. 1
T Закрыто Авто Бот по продаже Facebook и Gpay. Корзина 0
Zarik3232 Закрыто Пробив Авто /// Пробив человека Корзина 15
O Закрыто Stash-Shop Магазин аккаунтов / Бот авто-продаж в телеграм / Textnow / Telegram / Google voice / Full info / Самореги БА Корзина 3
adflak Отели, Виллы до 40% Авто, Экскурсии до 40% Ищу работу. Предлагаю свои услуги. 0
Б Закрыто Пробив информации по ИНН, Авто, ФИО, Телефону, паспорту, человеку, адресу Корзина 1
A anyshop.su - телеграм бот и сайт для авто продажи товаров Сайты/Хостинг/Сервера 0
T Нужен номер мобильного владельца авто(Украина) Предоставляю работу. Ищу специалиста. 1
T Платформа-конструктор ботов авто-продаж Telegram Предоставляю работу. Ищу специалиста. 4
A виды пленок для авто Корзина 0
C Услуги аренды ботов авто продаж в Telegram. Ищу работу. Предлагаю свои услуги. 1
Admin Пробиваем любое авто имея только номер для РФ [Бесплатно] Полезные статьи 0
G Бесплатный сервис по пробиву авто Другое 3
F Зарабатываем на "диагностике" авто Способы заработка 0
I Разблокировка авто используя hackRF One Полезные статьи 3
Support81 Решение Верховного Суда или поддержка Трампа: что определит судьбу TikTok? Новости в сети 0
Support81 Архив или троянский конь? критическая уязвимость в 7-ZIP угрожает миллионам устройств Новости в сети 0
Support81 Надзор или защита: Белый дом поддержит глобальный контроль киберпространства Новости в сети 0
Support81 Интернет без истории: случайность или спланированная акция? Новости в сети 0
Support81 Согласие или штраф: США устанавливают правила шпионажа за сотрудниками Новости в сети 0
Support81 Новый киберпреступник или очередной фейк? Разбираем Hikki-Chan Новости в сети 1
Support81 Tails: гарантия анонимности или иллюзия безопасности? Новости в сети 0
K P2P схемы для чайников (или как заработать дэнег) Способы заработка 0
Support81 Анализ Telegram: Защищенный мессенджер или опасное заблуждение? Новости в сети 0
Support81 Глобальный цифровой договор: благие намерения или путь к цензуре? Новости в сети 0
Support81 Маленькие коробочки или почему мы любим 7547/TCP Новости в сети 0
Support81 Роaring Kitty – легенда или аферист: Microsoft India втянута в мошенническую схему Новости в сети 0
Support81 Хорошев или не Хорошев? Могло ли ФБР ошибиться, связав мужчину с вымогательской империей LockBit Новости в сети 0
B Ищешь прокси или соксы ? Свободное общение и флейм 0
Support81 LockBit или DragonForce? Кибератака на Палау привела IT-специалистов в замешательство Новости в сети 0
Support81 Разведка за кадром, или Аквариум спецслужб Новости в сети 0
Support81 SiCat: революция в поиске эксплойтов или новый инструмент хакеров? Новости в сети 0
Support81 Взлом или небрежность? Код и пароли Binance были доступны на GitHub в течение нескольких месяцев Новости в сети 0
Support81 ТикТок обретает вторую жизнь в России: сбой или новая стратегия? Новости в сети 0
TrashHellSoDomy Интересно Такие точные сведения.. или команды.? Свободное общение и флейм 0
Support81 Важно!!! Создаем свой VPN с защищенным от блокировок протоколом AmneziaWG, или WireGuard на максималках Анонимность и приватность 3
Support81 Обычный новый подписчик или полицейский в гражданском? Новости в сети 0
Support81 UNC4841 — настоящие спецагенты или просто хакеры высокого класса? Новости в сети 0
Support81 Договор ООН о киберпреступности: новые стандарты или орудие репрессий? Новости в сети 0
Support81 Monti и Conti: новая звездная пара в мире кибервымогательств или просто совпадение? Новости в сети 0
Support81 Шифровальщик Wagner: вымогательство, вербовка или пустой звук? Новости в сети 0
Support81 70 миллионов или 10 терабайт информации: чем обернется взлом TSMC для мира микросхем? Новости в сети 0
O Я ищу работу. Мошенничество/афера, денежные мулы или другой бизнес в Турции Ищу работу. Предлагаю свои услуги. 3
P Закрыто Я могу выступить посредником по сделке между моими американцами и вами по покупке чистых или заюзанных доков. Корзина 1
websprojekt Продам Крипто биржа | Crypto exchange для ТТ тимы или индивидуального использования Куплю/Продам 2

Название темы

Русскоязычный Даркнет Форум