Autodesk A360 использовался для распространения Adwind, Remcos и Netwire

Облачный сервис Autodesk A360 был использован злоумышленниками для хранения и распространения вредоносного ПО, по аналогии с тем, как Google Диск использовался в качестве хранилища украденных данных. Подобную атаку обнаружили и описали эксперты из компании TrendMicro. Злоумышленники предпочитают облачные сервисы, поскольку так меньше вероятность срабатывания средств защиты от вредоносного ПО.

Для использования сервиса A360 Drive в своих целях злоумышленнику нужно всего лишь создать бесплатную учетную запись, загрузить вредоносную полезную нагрузку и внедрить URL-адреса в выбранном векторе атаки. Например, это может быть файл MS Word с вредоносным макросом. Доступ к полезной нагрузке на A360 Drive можно получить непосредственно через ссылку api.autodesk[.]com с указанием идентификатора файла, например, http[s]://api.autodesk [.] com / shared / <identifier>.

Исследователи из TrendLabs сообщили в своем блоге, что выявили ряд троянов для удаленного доступа (RAT), которые после загрузки и исполнения на компютере жертвы связывались со своими управляющими серверами.

Как показал анализ, чаще всего сервис A360 эксплуатировался для распространения вредоносного ПО в августе нынешнего года. Как правило это были инструменты для удаленного доступа, обфусцированные EXE-файлы и Java-архивы, в частности, банковский троян Zeus/Zbot KINS, RAT NETWIRE и jRAT, также известный как Adwind. Ознакомиться с полным списком выявленных вредоносов можно в приложении к отчету.

Эксперты заявили, что на данный момент не было зафиксировано случаев заражения вредоносным ПО с помощью сервиса Autodesk A360, но также отметили возрастающую популярность использования злоумышленниками облачных сервисов для хранения файлов с вредоносным кодом.

Источник