Американские юристы внезапно начали раздавать вирусы. Всё дело в хакерах и их любви к WordPress
NewsMakerОдного нажатия на кнопку достаточно, чтобы полностью потерять доступ к системе.
Специалисты подразделения Insikt Group* опубликовали первый подробный отчёт о группировке GrayCharlie, которая с середины 2023 года заражает сайты на WordPress и распространяет вредоносное ПО через поддельные обновления браузера и схему ClickFix. По данным авторов исследования, злоумышленники недавно взломали ряд сайтов юридических фирм в США, что может указывать на атаку через цепочку поставок.
GrayCharlie, связанная с активностью SmartApeSG, внедряет на скомпрометированные ресурсы ссылки на внешний JavaScript. Скрипт перенаправляет посетителей на страницы с фальшивыми обновлениями Chrome, Edge или Firefox либо показывает поддельную CAPTCHA. После запуска загруженного файла на устройство жертвы устанавливается NetSupport RAT , а в отдельных случаях также Stealc и SectopRAT. Основная цель атак — кража данных и получение финансовой выгоды. Не исключается и перепродажа доступа другим преступным группам.
Аналитики выявили обширную инфраструктуру, связанную с GrayCharlie. Командные серверы NetSupport RAT в основном размещались у хостинг-провайдеров MivoCloud и HZ Hosting Ltd. Часть серверов объединена в кластеры по характерным признакам TLS-сертификатов, серийным номерам и лицензионным ключам. В ряде случаев сертификаты создавались почти одновременно, что указывает на централизованное администрирование. Исследование также показало использование прокси-сервисов и SSH для управления инфраструктурой.
Отдельное внимание в отчёте уделено группе сайтов американских юридических компаний. Как минимум пятнадцать ресурсов загружали вредоносный скрипт с домена persistancejs.store. Многие из этих сайтов связаны с компанией SMB Team, которая предоставляет ИТ и маркетинговые услуги юридическим фирмам.
Специалисты подразделения Insikt Group* опубликовали первый подробный отчёт о группировке GrayCharlie, которая с середины 2023 года заражает сайты на WordPress и распространяет вредоносное ПО через поддельные обновления браузера и схему ClickFix. По данным авторов исследования, злоумышленники недавно взломали ряд сайтов юридических фирм в США, что может указывать на атаку через цепочку поставок.
GrayCharlie, связанная с активностью SmartApeSG, внедряет на скомпрометированные ресурсы ссылки на внешний JavaScript. Скрипт перенаправляет посетителей на страницы с фальшивыми обновлениями Chrome, Edge или Firefox либо показывает поддельную CAPTCHA. После запуска загруженного файла на устройство жертвы устанавливается NetSupport RAT , а в отдельных случаях также Stealc и SectopRAT. Основная цель атак — кража данных и получение финансовой выгоды. Не исключается и перепродажа доступа другим преступным группам.
Аналитики выявили обширную инфраструктуру, связанную с GrayCharlie. Командные серверы NetSupport RAT в основном размещались у хостинг-провайдеров MivoCloud и HZ Hosting Ltd. Часть серверов объединена в кластеры по характерным признакам TLS-сертификатов, серийным номерам и лицензионным ключам. В ряде случаев сертификаты создавались почти одновременно, что указывает на централизованное администрирование. Исследование также показало использование прокси-сервисов и SSH для управления инфраструктурой.
Отдельное внимание в отчёте уделено группе сайтов американских юридических компаний. Как минимум пятнадцать ресурсов загружали вредоносный скрипт с домена persistancejs.store. Многие из этих сайтов связаны с компанией SMB Team, которая предоставляет ИТ и маркетинговые услуги юридическим фирмам.