Кампанія зі шкідливими конфігураціями OpenBullet націлена на недосвідчених кіберзлочинців

Дослідники компанії Kasada виявили нову шкідливу кампанію, під час якої кіберзлочинці використовують шкідливі конфігураційні файли OpenBullet для зараження своїх менш досвідчених “колег” трояном віддаленого доступу (RAT).

OpenBullet – це легальний інструмент тестування на проникнення з відкритим вихідним кодом, який використовується для автоматизації атак із заповнення облікових даних. Програма отримує конфігураційний файл, адаптований до конкретного вебсайту, та може поєднувати його зі списком паролів, отриманих іншими способами, щоб реєструвати успішні спроби.

“OpenBullet можна використовувати з Puppeteer, headless браузером, який можна використовувати для автоматизації вебвзаємодії”, – зазначили в компанії. “Це дозволяє дуже легко запускати атаки із заповнення облікових даних без необхідності мати справу з вікнами браузера”.

Конфігурації, по суті, є частиною виконуваного коду для генерації HTTP-запитів до цільового вебсайту або додатку. Вони вільно продаються в даркнеті, тому навіть менш досвідчені кіберзлочинці можуть їх придбати та використовувати у своїх атаках.

“Інтерес до купівлі конфігурацій може свідчити про те, що користувачі OpenBullet є відносно недосвідченими, – зазначала ізраїльська компанія з кібербезпеки Cybersixgill ще у вересні 2021 року. “Але це також може бути ще одним прикладом високоефективного розподілу праці в даркнеті. Тобто зловмисники шукають де купити конфігурації не тому, що не знають, як їх написати, а тому, що це простіше і швидше”.

Кампанія, яку виявили Kasada, використовує шкідливі конфігурації, які поширюються через Telegram-канали, щоб отримати доступ до репозиторію GitHub для отримання дроппера на основі Rust під назвою “Ocean”. Він призначений для отримання корисного навантаження наступного етапу з того ж самого репозиторію.

Виконуваний файл (шкідливе програмне забезпечення на мові Python під назвою “Patent”) в кінцевому підсумку запускає троян для віддаленого доступу, який використовує Telegram як командно-контрольний сервер (C2) і виконує інструкції для створення скриншотів, перегляду вмісту каталогів, завершення завдань, викрадення інформації про криптогаманці, а також викрадення паролів і файлів cookie з браузерів на базі Chromium.

Атака спрямована на такі браузери та криптогаманці: Brave, Google Chrome, Microsoft Edge, Opera, Opera GX, Opera Crypto, Yandex Browser, Atomic, Dash Core, Electron Cash, Electrum, Electrum-LTC, Ethereum Wallet, Exodus, Jaxx Liberty, Litecoin Wallet, and Mincoin.

Троян також функціонує як кліпер для моніторингу буфера обміну на наявність адрес криптовалютних гаманців і підміни вмісту на адресу, контрольовану зловмисником, що призводить до несанкціонованого переказу коштів.

На дві адреси біткоїн-гаманців зловмисників за останні два місяці надійшло загалом $1 703,15, які згодом були відмиті за допомогою анонімної криптовалютної біржі, відомої як Fixed Float.

Нагадаємо, що раніше компанія BlackBerry оприлюднила список найпопулярніших криптографічних шкідливих програм.