Виявлено складну кібератаку, яка використовує троян віддаленого доступу Orcus RAT для зараження систем. Зловмисники, ймовірно пов’язані з актором PUSIKURAC, застосовують передові методи ухилення від захисту, щоб викрадати паролі, куки браузерів, записувати звук із мікрофона та навіть проводити DDoS-атаки.

Що відомо? Атака починається з VBscript, який запускає PowerShell-скрипт для завантаження зашифрованого .NET-виконуваного файлу, обфускованого через ConfuserEx. Цей файл використовує обхід UAC через захоплення реєстру Event Viewer, щоб отримати найвищі привілеї. Далі завантажується легітимне рекламне відео Coca-Cola на тему Рамадану, в якому захований Orcus RAT. Кожна стадія атаки включає додаткову обфускацію та шифрування, що ускладнює виявлення. Зловмисники також використовують безкоштовні сервіси, такі як FreeDns і paste.ee, для розміщення шкідливих компонентів.

Як захиститися?

-Уникайте відкриття підозрілих вкладень чи посилань у email.
-Використовуйте інструменти, такі як Morphisec AMTD, для захисту від атак у пам’яті.
-Перевірте журнали мережі на підключення до підозрілих URL, наприклад paste.ee.
-Увімкніть двофакторну автентифікацію (2FA) для всіх облікових записів.
-Регулярно оновлюйте ПЗ і скануйте систему на вразливості.

Ця кампанія демонструє, як зловмисники використовують довіру до легітимних сервісів для приховування атак. Будьте пильними та захищайте свої системи від прихованих загроз!