ForceCopy Stealer: коварная угроза, нацеленная на данные веб-браузера
Table of Contents
Новый инструмент в арсенале печально известной хакерской группы
Эксперты по кибербезопасности обнаружили сложную киберугрозу, известную как forceCopy Stealer, инструмент сбора информации, используемый в целевых атаках. Этот вор связан с Kimsuky , хорошо известной хакерской группой, которая, как полагают, связана с разведывательными службами Северной Кореи. Недавние сообщения указывают на то, что Kimsuky использует фишинговые методы для распространения forceCopy Stealer, сосредоточившись на получении конфиденциальных данных пользователей, хранящихся в веб-браузерах.
Как злоумышленники используют forceCopy Stealer
Метод доставки forceCopy Stealer вращается вокруг обманных писем, созданных так, чтобы казаться законными. Такие письма обычно включают вложение, маскирующееся под документ Microsoft Office или PDF, которое на самом деле является файлом ярлыка Windows (LNK). Как только получатель открывает файл, он активирует вредоносные скрипты через PowerShell или mshta.exe от Microsoft — оба из которых являются законными системными инструментами, часто используемыми в несанкционированных целях.
После выполнения этих скриптов из внешнего источника извлекаются дополнительные полезные нагрузки. Затем злоумышленники развертывают другие инструменты наряду с forceCopy Stealer, включая известный троян PEBBLEDASH и модифицированную версию утилиты Remote Desktop с открытым исходным кодом под названием RDP Wrapper. Эти компоненты работают совместно, чтобы установить долгосрочный доступ к скомпрометированным системам.
Основная функция forceCopy Stealer
По своей сути forceCopy Stealer предназначен для извлечения данных из определенных мест, связанных с веб-браузерами. Основной целью, по-видимому, являются файлы конфигурации браузера, которые могут содержать сохраненные учетные данные для входа. Сосредоточившись на этих каталогах, инструмент обходит определенные ограничения безопасности, которые защищают от обычных методов кражи учетных данных. Поскольку веб-браузеры часто хранят пароли и другую конфиденциальную информацию для удобства пользователя, злоумышленник, имеющий доступ к этим файлам, потенциально может получить данные для входа в различные онлайн-сервисы.
Последствия применения силыДействия копировщика
Развертывание forceCopy Stealer вызывает опасения относительно более широких последствий для кибербезопасности. Украденные данные браузера могут быть использованы несколькими способами, включая несанкционированный доступ к учетным записям, мошенничество с идентификацией или дальнейшие целевые атаки. Кроме того, поскольку стиллер используется вместе с другими вредоносными инструментами, такими как кейлоггеры и системы связи на основе прокси, пострадавшие лица или организации могут столкнуться с долгосрочными рисками безопасности.
Одним из заметных изменений в тактике Kimsuky является использование таких инструментов, как RDP Wrapper и вредоносное прокси-ПО, которые позволяют злоумышленникам поддерживать постоянный доступ к скомпрометированным машинам. Это представляет собой эволюцию их методов, отход от ранее используемых бэкдоров в пользу более модульного и адаптивного подхода.
Постоянная и развивающаяся угроза
Kimsuky, также известный под псевдонимами APT43 и Emerald Sleet, действует уже более десяти лет. Они часто используют тактику социальной инженерии, чтобы обойти меры безопасности. Их способность адаптировать фишинговые кампании и использовать законные инструменты для вредоносных целей сделала их постоянной угрозой в сфере кибербезопасности.
Последние результаты показывают, что группа продолжает совершенствовать свои методы, и forceCopy Stealer является последним дополнением к ее арсеналу. Акцент на краже данных браузера подчеркивает постоянный интерес к учетным данным, потенциально для шпионажа или финансовой выгоды. Это развитие подчеркивает необходимость для пользователей сохранять бдительность в отношении попыток фишинга и несанкционированного доступа к данным.
Усиление защиты от кражи данных браузера
Учитывая растущее использование хранилища учетных данных на основе браузера, важно реализовать защитные меры против таких угроз, как forceCopy Stealer. Пользователи должны быть осторожны при работе с вложениями электронной почты, особенно из неизвестных источников. Организации должны усилить протоколы безопасности электронной почты и отслеживать подозрительные действия, которые могут указывать на попытки несанкционированного удаленного доступа.
Понимая, как действует forceCopy Stealer и каковы тактики, применяемые такими группами, как Kimsuky, каждый может предпринять упреждающие меры для защиты своих цифровых активов и снижения риска подобных киберугроз.
