Исследователи из Securonix окрестили эту фишинговую кампанию STEPPY#KAVACH, приписав ее хакерской группировке SideCopy, так как подобные тактики и методы использовались только этими киберпреступниками в ходе предыдущих атак.
SideCopy – это предположительно пакистанская хакерская группировка, действующая с 2019. Известно, что она иногда пытается выдавать свои атаки за атаки SideWinder.
Последний сценарий атак, описанный Securonix, предполагает использование фишинговых писем, чтобы потенциальная жертва открыла LNK-файл для выполнения полезной нагрузки в формате HTA с помощью утилиты mshta.exe. По словам специалистов, HTML-приложение было обнаружено на взломанном сайте, вложенном в каталог gallery, который предназначен для хранения изображений на сайте.
Взломанный сайт – incometaxdelhi[.]org, официальный сайт Департамента подоходного налога Дели.
На следующем этапе запуск HTA-файла приводит к выполнению обфусцированного JavaScript-кода, который создает обманку – изображение, содержащее объявление Министерства обороны Индии, сделанное год назад, в декабре 2021 года. Затем JS-код загружает исполняемый файл с удаленного сервера, закрепляется в системе с помощью изменений в реестре Windows и перезагружает компьютер, чтобы автоматически запустить двоичный файл после запуска.
Этот файл функционирует как бэкдор и позволяет хакеру выполнять команды с контролируемого злоумышленниками домена, получать и запускать дополнительные полезные нагрузки, делать скриншоты и похищать файлы.
Кроме того, бэкдор дает злоумышленнику возможность поиск файлов базы данных (kavach.db), созданного приложением Kavach в системе для хранения учетных данных.