Виявлено, що пентестовий фреймворк SharpShooter, популярний серед фахівців із кібербезпеки, активно використовується зловмисниками для створення безфайлових атак. Цей інструмент, який спочатку розроблявся для внутрішнього тестування, дозволяє створювати шкідливі програми, що обходить сучасні системи безпеки.

Що відомо? SharpShooter використовує інструмент DotNetToJavaScript для створення шкідливих payloads у різних форматах (HTA, JS, VBS, JSE, VBA, VBE, WSF), які вбудовуються в HTML-шаблони. Атаки доставляються через фішингові email із посиланнями на шкідливі сайти або вкладеннями JavaScript. Фреймворк застосовує техніки обходу Windows 10 AMSI (Antimalware Scan Interface), включаючи Squiblydoo і Squiblytwo, які виконують XSL-скрипти через WMIC, уникаючи журналювання командного рядка. SharpShooter також перевіряє системи на наявність пісочниць і віртуальних машин, що ускладнює його виявлення.

Як захиститися?

-Уникайте відкриття підозрілих посилань або вкладень у email.
-Використовуйте інструменти, як Morphisec AMTD, для захисту від безфайлових атак у пам’яті.
-Перевірте журнали мережі на підозрілі активності, пов’язані з невідомими доменами.
-Увімкніть двофакторну автентифікацію (2FA) для всіх облікових записів.
-Регулярно оновлюйте ПЗ і проводьте сканування на вразливості.
-Цей випадок показує, як інструменти для тестування безпеки можуть стати зброєю в руках зловмисників. Захищайте свої системи та будьте пильними до фішингових атак!