Oprogramowanie złośliwe Muck Stealer używane wraz z phishingiem w nowych falach ataków

Nowy raport Cofense ujawnia, że ​​cyberprzestępcy łączą phishing i złośliwe oprogramowanie, w tym Muck Stealer, Info Stealer, ConnectWise RAT i SimpleHelp RAT, w atakach o podwójnym zagrożeniu, co utrudnia obronę przed nimi.

Według badaczy cyberbezpieczeństwa z Cofense, firmy zajmującej się analizą zagrożeń cybernetycznych, cyberprzestępcy zaczęli łączyć wyłudzanie danych uwierzytelniających ze złośliwym oprogramowaniem. To podwójne zagrożenie znacznie utrudnia firmom obronę przed pojedynczym atakiem.

Na przykład, kiedyś zakładano, że wiadomość e-mail stanowi próbę wyłudzenia danych uwierzytelniających lub złośliwe oprogramowanie. Teraz jednak przestępcy stosują nową strategię. Łącząc obie metody, mogą odnieść sukces, nawet jeśli firma zainwestowała znaczne środki w jeden obszar ochrony kosztem drugiego.

Raport ujawnił, że atakujący stosują kilka różnych metod przeprowadzania tych połączonych ataków. W jednej z kampanii z grudnia 2024 roku atakujący najpierw użyli złośliwego programu do pobierania, który zainstalował złośliwe oprogramowanie Muck Stealer na komputerze ofiary. Następnie złośliwe oprogramowanie uruchomiło fałszywą stronę logowania w celu zebrania dodatkowych informacji. Według badaczy, ten plik HTML służył również jako „metoda maskowania działań Muck Stealer”.

W innej kampanii ze stycznia 2025 roku podejście było odwrotne. Ofiary były najpierw kierowane na stronę phishingową, gdzie proszono je o podanie danych logowania. Gdy tylko wprowadzili swoje dane, na ich komputerze pobierano i instalowano spersonalizowanego program do kradzieży informacji. Badacze zauważyli, że przestępcy celowo „podwajali i bardzo precyzyjnie atakowali dane uwierzytelniające Microsoft Office ofiar”.

W innej znanej kampanii cyberprzestępcy podszywali się pod Amerykańską Agencję Ubezpieczeń Społecznych (USSA). Te e-maile dotyczące świadczeń zawierały osadzony link, który po kliknięciu najpierw pobierał aplikację ConnectWise RAT , a następnie kierował ofiarę na rozbudowaną stronę phishingową z danymi uwierzytelniającymi. Strona ta następnie gromadziła określone dane osobowe, których złośliwe oprogramowanie nie mogło uzyskać, w tym numer ubezpieczenia społecznego ofiary, nazwisko panieńskie matki i kod PIN operatora.

W raporcie opisano również interesującą kampanię z lipca 2025 roku, w której zawartość złośliwego oprogramowania zmieniała się w zależności od urządzenia ofiary. Na przykład, link z komputera z systemem Windows prowadził do fałszywej strony Microsoft Store , z której pobierano SimpleHelp RAT (oprogramowanie pozwalające atakującemu przejąć kontrolę nad komputerem), podczas gdy ten sam link na telefonie z Androidem dostarczał inny rodzaj złośliwego oprogramowania, zaprojektowanego specjalnie dla tego systemu.

Wspólnym elementem wielu z tych kampanii jest wdrożenie ConnectWise RAT. Raport , udostępniony portalowi Hackread.com, stwierdza, że ​​stosowanie wielu metod ataku pozwala przestępcom gromadzić więcej informacji i omijać zabezpieczenia zaprojektowane w celu wychwytywania tylko jednego rodzaju zagrożeń, co stanowi istotną zmianę w sposobie działania cyberprzestępców.