Вредоносное ПО Umbral: сбор данных пользователей
По сообщению компании BI.ZONE, ее эксперты обнаружили кампанию, цель которой – распространение вредоносного ПО Umbral, собирающего с зараженных компьютеров учетные данные пользователей. Исходные коды этого ПО размещены в открытом доступе на веб-сервисе GitHub и доступны всем желающим.
Для доставки Umbral Stealer в корпоративные сети злоумышленники выбрали простой, но эффективный метод – фишинговые письма. К ним были приложены ISO-файлы (дисковые образы), в которых содержались вредоносные ярлыки. Преступники замаскировали их под документы с названием «План Рейдеров». Открытие такого файла и запускало процесс компрометации устройства.
Umbral Stealer позволяет злоумышленникам обходить средства защиты, повышать привилегии, собирать информацию о скомпрометированной системе и извлекать аутентификационные данные из таких приложений, как Brave, Chrome, Chromium, Comodo, Edge, Epic Privacy, Iridium, Opera, Opera GX, Slimjet, UR Browser, Vivaldi, «Яндекс Браузер», Roblox, Minecraft и Discord. Многие из этих приложений могут содержать пароли не только для личных учетных записей, но и для корпоративных. Это может позволить атакующим получить первоначальный доступ к целевой сети, например, используя деловую электронную почту для рассылки фишинговых писем внутри организации или получения паролей к иным сервисам путем анализа почтовой переписки. При этом Umbral не использует традиционные методы коммуникации с командным сервером – вместо этого данные выгружаются через инфраструктуру мессенджера Discord.
Как отмечают в BI.ZONE, многие киберпреступники сегодня используют легитимные учетные данные для получения первоначального доступа к корпоративным сетям. Один из главных источников таких данных – стилеры. Данные, собранные стилерами, можно найти в продаже, а иногда и загрузить бесплатно на многих теневых форумах и маркетплейсах, именно поэтому появляются все новые и новые семейства стилеров.
Чтобы снизить риск подобных атак, подчеркивают в BI.ZONE, необходимо наладить защиту электронной почты: именно этот вектор распространения чаше всего используют операторы такого ПО, как Umbral Stealer.