Новый отчет от Securonix Threat Labs детально описывает механизм кибератаки StarkVortex. Злоумышленники применяют оригинальную тактику, используя инструкции по управлению дронами как приманку для распространения вредоносного ПО MerlinAgent.
Старт атаки происходит с рассылки электронных писем, в которых содержится приглашение изучить бесплатное руководство по управлению дронами. Файл-приманка представляет собой файл справки Microsoft (CHM-файл) под названием “Информация об обучении БПЛА для военных”. Обычно такой формат (.chm) файла используется для предоставления инструкций и рекомендаций по работе с программным обеспечением.
Атака разворачивается по мере того, как пользователь открывает данный документ: встроенный в HTML-страницу вредоносный блок кода JavaScript активируется, запуская обфусцированный код PowerShell. Этот код, в свою очередь, обеспечивает связь с удаленным сервером управления и контроля (C2), инициируя загрузку обфусцированных двоичных данных.
Далее, двоичный файл подвергается процессу обфускации с использованием XOR и декодируется, создавая полезную нагрузку маяка для вредоносного ПО MerlinAgent. С момента установления связи с сервером C2, злоумышленники получают полный контроль над хостом-жертвой.
Цепочка атак, несмотря на свою кажущуюся простоту, характеризуется сложными методами технической реализации и обфускации, что затрудняет ее обнаружение.
Исследователи отметили: “Файлы и документы, используемые в атаке, успешно обходят защитные механизмы, причём вредоносный файл .chm не был обнаружен ни одним из антивирусных сканеров. Обычно получение файлов помощи Microsoft через интернет вызывает подозрение. Однако злоумышленники так искусно оформили документы-ловушки, что они могут быть восприняты жертвой как обычные руководства или справочные материалы”
После успешного заражения злоумышленники могут получить полный контроль над системой жертвы.