Хакеры стали экономнее. Они больше не тратят деньги на скупку ворованных учётных данных
NewsMakerТеневой рынок столкнулся с неожиданной переменой правил игры.
Группировка LeakNet, связанная с программами-вымогателями , изменила тактику проникновения в системы и начала использовать социальную инженерию через взломанные сайты. Новая схема сочетает обман пользователей и запуск вредоносного кода прямо в памяти, что усложняет обнаружение атак и снижает зависимость от сторонних поставщиков доступа.
Аналитики ReliaQuest обратили внимание на применение приёма ClickFix. Речь идёт о поддельных проверках, которые имитируют CAPTCHA и предлагают устранить несуществующую ошибку. Пользователю показывают инструкцию с командой msiexec.exe, которую нужно вставить в окно «Выполнить» в Windows. После запуска команда инициирует цепочку заражения. В отличие от прежних методов, когда злоумышленники покупали украденные учётные данные, новый подход позволяет быстрее масштабировать атаки и снижает расходы на доступ к жертвам.
Второй ключевой элемент — загрузчик на базе среды Deno. Вредоносный JavaScript передаётся в кодировке Base64 и выполняется прямо в оперативной памяти. Такой подход почти не оставляет следов на диске и затрудняет работу средств защиты. Загрузчик собирает сведения о системе, связывается с внешним сервером и затем регулярно подгружает дополнительные компоненты.
LeakNet впервые зафиксировали в ноябре 2024 года. Группировка позиционировала себя как «цифрового наблюдателя», однако фактическая деятельность включала атаки на промышленные организации, о чём сообщала компания Dragos . Новая схема проникновения показывает сдвиг в стратегии и попытку ускорить операции без посредников.
Группировка LeakNet, связанная с программами-вымогателями , изменила тактику проникновения в системы и начала использовать социальную инженерию через взломанные сайты. Новая схема сочетает обман пользователей и запуск вредоносного кода прямо в памяти, что усложняет обнаружение атак и снижает зависимость от сторонних поставщиков доступа.
Аналитики ReliaQuest обратили внимание на применение приёма ClickFix. Речь идёт о поддельных проверках, которые имитируют CAPTCHA и предлагают устранить несуществующую ошибку. Пользователю показывают инструкцию с командой msiexec.exe, которую нужно вставить в окно «Выполнить» в Windows. После запуска команда инициирует цепочку заражения. В отличие от прежних методов, когда злоумышленники покупали украденные учётные данные, новый подход позволяет быстрее масштабировать атаки и снижает расходы на доступ к жертвам.
Второй ключевой элемент — загрузчик на базе среды Deno. Вредоносный JavaScript передаётся в кодировке Base64 и выполняется прямо в оперативной памяти. Такой подход почти не оставляет следов на диске и затрудняет работу средств защиты. Загрузчик собирает сведения о системе, связывается с внешним сервером и затем регулярно подгружает дополнительные компоненты.
LeakNet впервые зафиксировали в ноябре 2024 года. Группировка позиционировала себя как «цифрового наблюдателя», однако фактическая деятельность включала атаки на промышленные организации, о чём сообщала компания Dragos . Новая схема проникновения показывает сдвиг в стратегии и попытку ускорить операции без посредников.