Виртуальное вино – реальные риски: вредонос WINELOADER предлагает дипломатам бокал за их безопасность

Неизвестная хакерская группа, получившая название SPIKEDWINE, атакует послов из ряда европейских стран, где действуют индийские дипломатические миссии. Для реализации своих целей злоумышленники используют новый вредоносный бэкдор - WINELOADER.

Об этом сообщается в отчете компании Zscaler ThreatLabz . Согласно их данным, в рамках атак хакеры рассылали сотрудникам дипмиссий pdf -файлы, якобы от имени посла Индии. Эти письма содержали приглашения на дегустацию вин, намеченную на 2 февраля 2024 года.

Один из pdf-документов такого рода был загружен на ресурс VirusTotal 30 января 2024 года из Латвии. Вместе с тем есть основания полагать, что кампания могла начаться еще 6 июля 2023 года. На это указывает обнаружение еще одного похожего pdf из той же страны.

«Атака отличается небольшими масштабами и использованием продвинутых методов, техник и процедур как в самом вредоносном ПО, так и в инфраструктуре управления и контроля», - констатировали исследователи безопасности из Sudeep Singh и Roy Tay.

В pdf-файле содержится вредоносная ссылка, маскирующаяся под опросник. Адресатов просят заполнить анкету для участия в мероприятии. Переход по этой ссылке приводит к загрузке html-приложения («wine.hta») с обфусцированным javascript-кодом. Он предназначен для получения зашифрованного архива ZIP с вредоносной программой WINELOADER с того же домена.

Ядро WINELOADER включает модуль, который скачивает дополнительные элементы с командного сервера. Также он внедряется в сторонние dll-библиотеки и сокращает интервал времени между отправкой запросов.

Отличительной чертой этих кибератак является использование взломанных веб-сайтов в качестве серверов управления и для размещения вредоносного ПО. Предположительно, командные серверы принимают запросы от вредоносных программ только в определенное время и по специальному протоколу. Это делает атаки более скрытными и затрудняет их обнаружение.

Как отмечают исследователи, хакеры предприняли значительные усилия, чтобы замести свои следы. В частности, они избегали действий, которые могут привлечь внимание систем анализа памяти и автоматизированного сканирования URL-адресов.