ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 —  злоумышленники используют GitHub для распространения фальшивых обновлений VS Code, многокомпонентная кампания с загрузчиком PhantomVAI, Torg Grabber: Эволюция нового инфостилера от Telegram до REST API C2, Kiss Loader: WebDAV, Python и Early Bird APC в одной цепочке заражения, конструктор приложений Bubble AI используется для фишинга.

1. Злоумышленники используют GitHub для распространения фальшивых обновлений VS Code

Исследователи Socket.dev выявили новую вредоносную кампанию, использующую GitHub Discussions для распространения вредоносного ПО. Злоумышленники публикуют обсуждения с заголовками о необходимости срочного обновления Visual Studio Code, ссылаясь на ложные критические уязвимости CVE. В этом же посте предлагается скачать исправленную версию по внешним ссылкам. Атака начинается с перехода по URL-адресу в домене share.google, который перенаправляет активных пользователей на фишинговый сайт drnatashachinn[.]com. Страница содержит скрипт, который собирает информацию о браузере пользователя перед загрузкой вредоносного payload. Для защиты рекомендуется не переходить по сторонним ссылкам для обновления ПО.

2. Многокомпонентная кампания с загрузчиком PhantomVAI

Специалисты LevelBlue SpiderLabs выявили многоступенчатую кампанию по доставке вредоносного ПО после обнаружения файла Name_File.vbs. Анализ показал, что загрузчик использует Unicode-обфускацию. PowerShell извлекал PNG с легитимного хостинга Internet Archive, в который внедрили Base64-кодированную .NET-сборку PhantomVAI. Она загружалась в память методом Reflection.Assembly::Load, после чего загрузчик декодировал параметры, ведущие к Remcos RAT и DLL, для обхода UAC. Инфраструктура домена news4me[.]xyz включала открытые директории с