Оффлайн
- Регистрация
- 12.01.18
- Сообщения
- 1.064
- Реакции
- 189
- Репутация
- 10
You must be registered for see images attach
Cloudflare Workers является набором скриптов, запущенных на серверах Cloudflare. Они расположены в дата-центрах 90 стран и 193 городов. Платформа позволяет запустить любой код JavaScript без необходимости поддерживать инфраструктуру.
Cloudflare Workers в ходе вредоносной кампании преступников играет роль одной из частей атаки. Злоумышленники отправляют фишинговое письмо, замаскированное под обычный опрос, с прикрепленным вложением в формате HTML. Вложение содержит обфусцированный код JavaScript, связанный с доменом в инфраструктуре Cloudflare. Данный домен используется для доставки вредоносной нагрузки нескольких видов в формате JSON. Для избежания блокировки преступники могут быстро менять вредоносные файлы.
Для реализации второй ступени атаки JSON парсится из URL, конвертируется из Base64 в Array, переименовывается для соответствия имени HTML-файла. Далее формируется специальная ссылка автоматического перехода, которая запускает загрузку вредоноса на компьютер пользователя.
В рамках третьего этапа используется загрузка вредоносной DLL-библиотеки, которая управляется аккаунтами злоумышленников в сервисах YouTube и Facebook. Аккаунты в данном случае играют роль C&C-сервера.
Исследователи безопасности обнаружили распространение вредоноса Astaroth еще в прошлом месяце, однако с тех пор злоумышленники начали использовать новые техники, чтобы избежать обнаружения и скрыть свои следы в зараженных организациях.
*Источник - https://www.securitylab.ru/news/500788.php