Киберпреступники задействовали новую цепочку атак для развёртывания вредоносного ПО под названием “XWorm” при помощи легитимного Rust-инжектора “Freeze.rs”. Вредоносная операция была раскрыта специалистами FortiGuard Labs 13 июля 2023 года.
Атака начинается с фишингового письма, содержащего вредоносный PDF-файл. После запуска этот файл перенаправляет жертву на HTML-файл и использует протокол “search-ms” для доступа к LNK-файлу (по сути, обычному ярлыку с прописанным параметром запуска) на удалённом сервере, пояснили специалисты. При запуске вредоносного ярлыка выполняется сценарий PowerShell, который запускает инжекторы Freeze.rs и SYK Crypter для дальнейших вредоносных действий.
Выпущенный в мае этого года Freeze.rs – это легитимный хакерский инструмент для обхода средств защиты и незаметного выполнения шелл-кода, доступный для скачивания на GitHub.
SYK Crypter, в свою очередь, применяется для распространения различных вредоносных программ, таких как AsyncRAT, NanoCore RAT, njRAT, QuasarRAT, RedLine Stealer и Warzone RAT (также известный как Ave Maria). SYK Crypter загружается через Платформа включает в себя несколько основных компонентов, включая среду исполнения .NET, библиотеки классов .NET и компиляторы языков программирования.
.NET используется для создания разнообразных приложений, включая десктопные, веб- и мобильные приложения, а также игры и службы веб-серверов.