На чтение: 2 мин.

Эксперты «Лаборатории Касперского» обнаружили вредоносную кампанию, которая связана с ранее неизвестной группой Armored Likho

Злоумышленники используют новый стилер BusySnake, способный похищать с заражённых устройств конфиденциальные данные и делать скриншоты, а также перехватывать пароли из браузеров. В основном он распространяется через фишинговые письма с разнообразными легендами: от психологических тестов до гуманитарной помощи. Кампания в первую очередь направлена на государственный и электроэнергетический секторы, и она всё еще активна. На данный момент атаки были выявлены в Казахстане, России и Бразилии.

Как заражают

Один из ключевых векторов атак — фишинг. Злоумышленники точечно рассылают электронные письма с вредоносными архивами, тематика которых значительно варьируется. Например, в качестве приманки получателям предлагалось пройти психологический тест или оформить заявку на гуманитарную помощь. Названия архивов повторяют тематику писем, чтобы ввести потенциальных жертв в заблуждение и заставить их запустить вредоносное содержимое. Для отвлечения внимания на устройстве запускается приложение с психологическим опросом или документ-приманка, в зависимости от легенды. В результате многоэтапной цепочки загрузки на устройство попадает стилер, получивший название BusySnake.

Новый стилер BusySnake

Стилер написан на Python и предназначен для атак на Windows-системы. В ходе анализа эксперты обнаружили несколько версий этого зловреда, а также дополнительный модуль для кражи cookie-файлов. BusySnake обладает широкой функциональностью, в частности он способен красть данные из буфера обмена, передавать конфиденциальные файлы с заражённого устройства на командный сервер злоумышленников, перехватывать пароли из Firefox и браузеров на базе Chromium. Кроме того, в исходном коде стилера предусмотрено несколько способов защиты от обнаружения и затруднения статического анализа. Для доставки BusySnake на устройство используются загрузчики, которые, судя по анализу кода, были сгенерированы при помощи ИИ.

Кто стоит за атаками

Со средней степенью уверенности можно говорить, что кампания связана с ранее не описанной группой Armored Likho. Злоумышленники совмещают кибершпионаж в отношении организаций и финансово мотивированные атаки на частных пользователей.

«Анализ кампаний Armored Likho за последние несколько месяцев выявил тенденцию — злоумышленники используют ИИ-инструменты для создания полезных нагрузок первого этапа, на что указывают избыточные комментарии и блоки кода. Такой подход значительно расширяет число векторов атаки. Параллельно с этим группировка продолжает развивать и модифицировать свой инструментарий. Если ранее Go2Tunnel использовался как отдельный инструмент, то в текущей кампании эта функциональность интегрирована непосредственно в стилер в виде встроенной функции, получающей параметры от командного сервера злоумышленников. Стоит также отметить, что архитектура обнаруженного стилера имеет определённые сходства с другим инструментом группировки — AquilaRAT. Несмотря на развитие вредоносного инструментария и попытки скрыть используемые TTP, мы продолжаем внимательно следить за деятельностью Armored Likho и выявлять новые кампании злоумышленников», — отмечают исследователи.

Защитные решения «Лаборатории Касперского», такие как Kaspersky Endpoint Detection and Response Expert, успешно обнаруживают данную вредоносную активность.

Подробный отчёт о группировке Armored Likho опубликован на Securelist.ru.