Campo Loader предоставляет жертвам в Японии дополнительное вредоносное ПО

Еще одна кампания по борьбе с киберпреступностью нацелена на пользователей и организации в Японии. Эксперты подозревают, что вредоносные атаки происходят с октября 2020 года, но они были выявлены и проанализированы только примерно в марте 2021 года. Преступники, стоящие за этой атакой, используют новый вредоносный имплант, отслеживаемый под псевдонимом Campo Loader. Эта угроза предназначена для обхода основных правил и служб сетевой безопасности, а затем развертывания вторичной полезной нагрузки в скомпрометированной сети.

Исходный вектор заражения, на который полагаются злоумышленники, неудивителен - они используют фишинговые письма, написанные на японском языке. Обычно получателя просят загрузить и просмотреть вложение. Злоумышленники попытались защитить прикрепленные архивы паролем, поэтому у пользователей сложилось впечатление, что вложение действительно содержит важную информацию. После загрузки и запуска вредоносного файла Campo Loader будет помещен в скрытый каталог. Он также обеспечит постоянство, изменяя реестр Windows без одобрения пользователя.

До сих пор злоумышленники использовали широкий спектр вторичных полезных нагрузок, которые служат разным целям. Их планы кажутся довольно хаотичными, если судить по типам используемых вредоносных программ - TrickBot Trojan, Phobos Ransomware, Ursnif и Cobalt Strike. Преступники также используют сложный набор серверов для управления активными имплантатами. Удивительно, но некоторые из серверов расположены в Японии, но большая их часть разбросана по всему миру.

Итак, как защитить себя от Campo Loader и подобных вредоносных программ? Пользователи никогда не должны взаимодействовать с неизвестными электронными письмами, особенно если они настаивают на том, чтобы убедить их загрузить и запустить вложение файла. Вредоносные вложения электронной почты - наиболее широко используемый метод распространения вредоносных программ, поэтому всегда следует относиться к неожиданным письмам с осторожностью. Кроме того, рекомендуется обеспечивать безопасность вашей сети с помощью сторонних антивирусных программ и брандмауэров, которые могут предотвратить запуск таких угроз, как Campo Loader, вообще. Еще одна недавняя атака в этом регионе была связана с вредоносным ПО SmsSpy для Android .