Дослідники з Fortinet виявили нову складну кібератаку, спрямовану на пристрої українських користувачів. Основною метою зловмисників є встановлення шкідливого програмного забезпечення Cobalt Strike і заволодіння контролем над зараженими комп’ютерами.
Атака починається зі шкідливого файлу Microsoft Excel, що містить спеціальний VBA-скрипт. Цей скрипт запускає процес зараження, підключаючись до серверів зловмисників.
Спочатку Cobalt Strike був створений для тестування безпеки, однак тепер його зламані версії використовують для злочинів.
Файл Excel, використовуваний у цій атаці, написаний українською мовою. З липня 2022 року Microsoft блокує макроси за замовчуванням, що ускладнює завдання зловмисникам. Проте вони використовують різноманітні трюки, щоб змусити користувачів увімкнути макроси.
Після активації макросів, запускається програма, яка перевіряє наявність антивірусних програм Avast або Process Hacker на комп’ютері. У разі їх виявлення, програма зупиняє свою роботу. В іншому випадку, вона з’єднується з віддаленим сервером для завантаження додаткових шкідливих програм, але це відбувається лише якщо пристрій розташований в Україні.
Потім відбувається завантаження іншої програми, яка активує шкідливе програмне забезпечення. Завершальний етап атаки полягає у розгортанні Cobalt Strike Beacon, що створює з’єднання з серверами зловмисників.
Геолокаційні перевірки під час завантаження допомагають приховати підозрілу активність від аналітиків. Використання закодованих рядків приховує важливу інформацію, що полегшує розгортання шкідливих програм. Програма також має функцію самознищення, щоб уникнути виявлення антивірусами.
