Copyright phishing kampanja koristi PureLog Stealer i fileless izvršavanje
Cyber Press prenosi da napadači šire PureLog Stealer kroz višefaznu kampanju koja koristi mejlove sa temom navodne povrede autorskih prava i malvertising preko Google oglasa. Žrtvi se prikazuje bezazleni PDF mamac, dok se u pozadini preuzima šifrovana arhiva sa lažnom .pdf ekstenzijom, a lozinka se dinamički dobavlja sa udaljenog servera. Za raspakivanje se koristi preimenovani WinRAR maskiran kao PNG fajl, zatim se pokreće Python loader koji zaobilazi AMSI, uspostavlja perzistenciju, snima ekran i prikuplja podatke o sistemu i bezbednosnim alatima, da bi se završni PureLog Stealer učitao direktno u memoriju bez upisa finalnog payload-a na disk.
Ovo je dobar primer kako danas izgleda praktično složen napad na korisnike i organizacije: mamac, više faza, dinamičko otključavanje, legitimni alati pod lažnim imenima, AMSI bypass i fileless izvršavanje. Za odbranu je važno što mnoge radnje pojedinačno ne deluju spektakularno, ali zajedno čine lanac koji lako prolazi ispod radara ako se posmatraju samo klasični fajl indikatori.
- Uvesti detekcije za sumnjiva pokretanja alata kao što su arhiveri i interpreteri pod lažnim imenima
- Pratiti AMSI bypass pokušaje, izmene Run ključeva u registru i neuobičajeno pokretanje Python procesa na korisničkim stanicama
- Obučiti korisnike da pravne, copyright i slične hitne poruke tretiraju kao visokorizične dok se ne provere drugim kanalom
- Ne oslanjati se samo na detekciju fajlova na disku, već pratiti ponašanje procesa, memorijsko učitavanje i mrežne veze ka komandno-kontrolnoj infrastrukturi
- Posebno proveriti izložene sektore kao što su zdravstvo, uprava, obrazovanje i ugostiteljstvo ako posluju sa regionima navedenim u kampanji