Целевая атака с использованием методов социальной инженерии остается одной из ключевых угроз для информационной безопасности организаций. В марте 2024 года российский оператор грузовых железнодорожных перевозок едва не стал жертвой подобной атаки, в ходе которой злоумышленники планировали использовать популярные техники для закрепления в скомпрометированной системе, включая эксплуатацию уязвимости в Яндекс.Браузере.
Вектор атаки: целевой фишинг
Атака началась с фишингового письма, замаскированного под резюме соискателя. Вложение содержало lnk-файл с двойным расширением (.pdf.lnk), который, будучи замаскированным под PDF-документ, содержал ссылку на вредоносный исполняемый файл. Важной деталью здесь стало использование хорошо известной тактики двойных расширений, что вводило в заблуждение пользователей и позволяло файлу казаться безобидным.
Метаданные, хранящиеся в lnk-файле
Целью злоумышленников было сначала скрытно запустить PowerShell на компьютере жертвы, который затем загружал два вредоносных скрипта. Один из них устанавливал троян, маскирующийся под обновление Яндекс Браузера (YandexUpdater.exe). Этот компонент скрытно разворачивал Trojan.Packed2.46324, который, в свою очередь, устанавливал трояна Trojan.Siggen28.53599 для дальнейшего управления системой и выполнения вредоносных задач, включая сбор данных и загрузку дополнительных модулей.
Схема атаки
Индикаторы компрометации опубликованы на GitHub.
Использование Яндекс.Браузера
Основной целью атаки была эксплуатация уязвимости в Яндекс.Браузере, связанной с порядком поиска динамических библиотек (DLL Search Order Hijacking). Вредоносная библиотека Wldp.dll помещалась в каталог установки Яндекс.Браузера, что позволяло загружаться ей первой при запуске браузера. Эта вредоносная DLL, получив права браузера, могла выполнять команды от его имени, получая доступ к интернету через его разрешения.
Злоумышленники использовали шифрование для маскировки полезной нагрузки. Расшифровка выполнялась в два этапа, что усложняло анализ и обнаружение вредоносной активности. Финальная полезная нагрузка, скрытая в DLL, запускала шелл-код для загрузки дополнительных компонентов с удаленного сервера. Однако на момент анализа специалисты не смогли установить, какое именно ПО загружалось, так как сервер был уже недоступен.
Обновите Яндекс.Браузер
Атака на железнодорожного оператора демонстрирует многоступенчатую схему инфицирования, где каждый элемент был тщательно спланирован для обхода защиты и минимизации риска обнаружения. Однако благодаря своевременному вмешательству специалистов компании «Доктор Веб», атака была предотвращена. Уязвимость в Яндекс.Браузере была быстро устранена, и пользователям рекомендуется немедленно обновить браузер до версии 24.7.1.380 (и выше).
Рекомендации по защите
- Обучение сотрудников безопасному обращению с электронной почтой.
- Использование антивирусных и фильтрующих решений.
- Регулярное обновление всех установленных приложений.
- Контроль подозрительной активности на узлах сети.
Заблаговременное выявление и устранение уязвимостей, как в случае с Яндекс.Браузером, остаётся важным шагом для обеспечения безопасности в условиях возрастающей угрозы кибератак.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России