Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — новый бэкдор Windows BITSLOTH, фишинговая кампания OneDrive Pastejacking, кража одноразовых паролей 2FA (OTP) с Android-устройств, обзор вредоносного пакета zlibxjson версии 8.2, масштабная отправка поддельных писем от имени крупных брендов.

Новый бэкдор Windows BITSLOTH использует службу BITS

Исследователи Elastic Security Labs выявили новый бэкдор Windows, который использует фоновую интеллектуальную службу передачи (BITS) для получения команд C2-сервера. После первоначального доступа в инфраструктуру бэкдор BITSLOTH загружается в виде DLL-файла и вызывается запуском подписанного ПО создания музыки FL Studio. Последняя версия бэкдора имеет 35 функций обработчика, включая возможности кейлоггинга и захвата экрана. Кроме того, BITSLOTH содержит множество различных функций для обнаружения и сбора данных. Рекомендуется ознакомиться с индикаторами компрометации, представленными в отчете.

Фишинговая кампания нацелилась на пользователей Microsoft OneDrive

Специалисты Trellix сообщают о новой фишинговой кампании OneDrive Pastejacking, в которой злоумышленники заставляют пользователей выполнить скрипт PowerShell. Атака начинается с электронного письма c HTML-файлом, при открытии которого получателю демонстрируется страница OneDrive с сообщением об ошибке подключения к облаку. В сообщении говорится, что для устранения ошибки нужно вручную обновить кэш DNS. Пользователю предлагается выбрать один из двух вариантов: «Как исправить» и «Подробности». Нажатие на «Подробности» перенаправляет на страницу Microsoft Learn, тогда как «Как исправить» направляет пользователя выполнить ряд шагов: нажать комбинацию клавиш Windows + X, запустить PowerShell-терминал и вставить Base64-команду. Команда сначала запускает ipconfig