Hakerzy ukrywają złośliwe oprogramowanie w plikach wygaszacza ekranu w fałszywym ataku mailowym dotyczącym wysyłki

Image by jcomp, from Freepik

Hakerzy ukrywają złośliwe oprogramowanie w plikach wygaszacza ekranu w fałszywym ataku mailowym dotyczącym wysyłki

Przeczytasz w: 2 min

Ostatnia aktualizacja: Apr 9, 2025

Firma zajmująca się cyberbezpieczeństwem Symantec odkryła kampanię phishingową skierowaną przeciwko różnym branżom w Azji, Europie i Stanach Zjednoczonych. Wykorzystuje ona fałszywe e-maile dotyczące wysyłki oraz zamaskowane pliki wygaszacza ekranu do zainfekowania ofiar malware.

Spieszysz się? Oto najważniejsze informacje:

  • Narzędzie ModiLoader wdraża stealery, w tym Remcos i Agent Tesla oraz AsyncRAT.
  • E-maile udają oficjalną korespondencję od prominentnej tajwańskiej firmy spedycyjnej, która dostarcza aktualizacje wysyłki.
  • Atak skierowany jest na cztery konkretne sektory, które obejmują elektronikę wraz z motoryzacją i produkcją oraz nadawaniem.

Napastnicy podają się za dużą tajwańską firmę spedycyjną i logistyczną i wysyłają phishingowe e-maile w języku chińskim, które wyglądają jak prawdziwe aktualizacje przesyłek. W temacie wiadomości zawarte są szczegółowe informacje o wysyłce, odnoszące się do odprawy celnej z Kaohsiung do Atlanty 7 kwietnia.

Odbiorcy są następnie proszeni o zweryfikowanie dokumentów przewozowych, takich jak ISF, lista pakowania i faktura. Wewnątrz znajduje się złośliwy plik przebrany za wygaszacz ekranu Windows (.SCR). Po kliknięciu, cicho instaluje loader malware o nazwie ModiLoader.

GBHackers zauważa, że ModiLoader to znane zagrożenie, które pobiera i instaluje narzędzia do zdalnego dostępu oraz malware kradnące informacje. Symantec zgłosił, że było używane do instalowania malware, takiego jak Remcos, Agent Tesla, MassLogger, AsyncRAT i Formbook.

„Chociaż mogą wydawać się nieszkodliwe, są to w gruncie rzeczy programy wykonywalne z innym rozszerzeniem pliku. Po uruchomieniu, te pliki mogą wykonać dowolną akcję, jaką regularny plik wykonywalny może – na przykład instalowanie loaderów, backdoorów, keyloggerów lub ransomware. Na dzień dzisiejszy nadal są intensywnie wykorzystywane w łańcuchach ataków” – ostrzegała firma Symantec.

Kampania dotknęła wiele sektorów, w tym motoryzacyjny, elektroniczny, wydawniczy, radiowo-telewizyjny i produkcyjny, a ofiary znajdują się w takich krajach jak Japonia, Wielka Brytania, Szwecja, Stany Zjednoczone, Hongkong, Tajwan, Tajlandia i Malezja.

Symantec zwalcza zagrożenie, korzystając z różnorodnych środków ochrony, takich jak uczenie maszynowe, skanowanie plików, filtrowanie e-maili i zabezpieczenia końcowych punktów Carbon Black. Malware został oznaczony pod wieloma nazwami, w tym Trojan.Gen.MBT i Scr.Malcode!gen19.

Eksperci zalecają firmom edukację pracowników na temat podejrzanych e-maili.

Spodobał Ci się ten artykuł? Oceń go!
Był okropny Nie podobał mi się Był w porządku Był całkiem dobry! Był super!

Cieszymy się, że doceniasz to, co robimy!

Cenimy Twoją opinię. Czy możemy liczyć na ocenę na Trustpilot? Zajmie Ci to tylko chwilę. Będziemy zobowiązani. Dziękujemy za wsparcie!

Oceń nas na Trustpilot
0 Na podstawie głosów 0 użytkowników
Tytuł
Komentarz
Dziękujemy za Twoją opinię
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Zostaw komentarz

Loader
Loader Pokaż więcej...