Ссылка Discord CDN используется для доставки RAT, замаскированного под файл OneDrive

Компания Sublime Security, занимающаяся кибербезопасностью, обнаружила новую угрозу на платформе электронной почты Microsoft 365. Хакеры используют хитроумную вредоносную кампанию, чтобы обманывать пользователей с помощью поддельных писем OneDrive .

В исследовании, с которым компания поделилась с Hackread.com, было установлено, что эта сложная атака устанавливает на компьютер жертвы две отдельные программы удаленного управления, что существенно затрудняет ее остановку.

Система Sublime Security на базе искусственного интеллекта обнаружила атаку, обнаружив несколько едва заметных признаков. Среди них — электронное письмо, якобы предлагающее обмен файлом, но отправленное на неизвестный список получателей, вводящее в заблуждение расширение файла (на самом деле .docx , но на самом деле .msi ) и использование бесплатного файлообменника.

Исследователи обнаружили, что атака начинается с вредоносного электронного письма, отправленного с ранее взломанной учётной записи. Сообщение выглядит как уведомление об обмене файлами от Microsoft OneDrive, дополненное привычным колонтитулом конфиденциальности и значком документа Word .

Ссылка в электронном письме обещает загрузить файл документа, но на самом деле ведёт на опасный установщик, размещённый на бесплатном сервисе Discord CDN. Когда пользователь переходит по ссылке, злоумышленник устанавливает программное обеспечение, известное как RMM (удалённый мониторинг и управление). Это легальные инструменты, используемые IT-специалистами для удалённого ремонта компьютеров, но киберпреступники могут использовать их для получения полного контроля над устройством.

Программное обеспечение RMM работает, устанавливая на целевой компьютер небольшую программу, называемую агентом, которая создает соединение для удаленного доступа. После установки RMM может использоваться для кражи данных, блокировки компьютера с целью получения выкупа или проведения других атак. Эта кампания особенно коварна, поскольку она устанавливает Atera в видимом процессе, в то время как две другие установки, включая Splashtop Streamer и .Net Runtime 8, работают в фоновом режиме.

Оба они загружаются из легитимных источников, что делает их похожими на безобидный веб-трафик. Этот двойной подход — ключевой элемент схемы, гарантирующий злоумышленнику «сохранение удалённого управления даже при обнаружении одного RMM», говорится в блоге .

Эта кампания подчеркивает растущую угрозу многоэтапных атак, использующих обман для получения постоянного контроля над компьютером жертвы. Чтобы оставаться в безопасности, всегда будьте осторожны с неожиданными электронными письмами, даже из надёжных источников, таких как OneDrive. Кроме того, перед открытием любых загруженных файлов внимательно проверяйте их тип и имя; если тип файла кажется вам подозрительным, например, .msi вместо .docx , не запускайте его.