В прошедшее воскресенье наши эксперты выявили новую волну таргетированных атак. Злоумышленники начали отправлять вредоносный файл, имитирующий документ с названием «Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА». Судя по количеству жертв, мы имеем дело с таргетированной атакой с целю сбора конфиденциальной информации.

Что за зловред находится во вложении

В действительности файл » Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА» имеет расширение .scr и является инсталлятором. Для отвлечения внимания пользователя он извлекает из себя и открывает документ PDF на тему БПЛА. Параллельно с этим он, в скрытом режиме, скачивает несколько архивов с дополнительной вредоносной нагрузкой и консольную утилиту для работы с архивами формата RAR. Консольная утилита используется для распаковки скачанных архивов, а также для сбора интересующих злоумышленников файлов.

За чем охотятся злоумышленники

Злоумышленники собирают в архивы офисные документы с расширениями *.doc и *.docx с дисков C:, D: и E:; кроме того, их интересует все содержимое папки «Telegram Desktoptdata», в которой хранятся данные десктопной версии мессенджера Telegram. Сформированные архивы с информацией впоследствии отправляются на почту злоумышленнику с помощью еще одной консольной утилиты, извлеченной из скачанного архива.

Помимо этого, атакующие пользуются утилитой восстановления паролей Web Browser Pass View для похищения учетных данных, сохраненных в браузерах, а также тайно от владельца устанавливают в систему легитимную программу для мониторинга активности пользователя.
Она способна перехватывать и записывать нажатие клавиш, мониторить активность в сети Интернет, делать скриншоты, а главное, составлять из перехваченных данных отчеты и отправлять их на электронную почту.

Подобные атаки в прошлом.

Атаку на компании, проводимую по подобной схеме, нельзя назвать принципиально новой. Подобные вредоносные рассылки, в которых используется тот же набор инструментов, встречаются как минимум с 2019 года. По большому счету различия состоят в теме документа-приманки и, соответственно, названии вредоносного инсталлятора. До конца 2023 года название вредоносного scr-файла чаще всего включало фразу  «1C.Предприятие Платежная накладная», а в 2024 году вложения рассылались с разнообразными именами, например, «Проект ТТТ 26.2024-2.scr «, «пневмокатапульта с самолетом.step.scr», «аналитическая справка.pdf.scr».

В ходе текущей атаки вредоносные архивы скачиваются с ресурса accouts-verification[.]ru. В июльской волне рассылок для загрузки архивов использовался сайт detectis[.]ru. И в том, и в другом случае собранные данные отправляются на сервер hostingforme[.]nl.

Как защититься от подобной атаки

Для того, чтобы защитить компанию от вредоносных рассылок нужно в первую очередь периодически повышать осведомленность сотрудников о современных киберугрозах и уловках киберпреступников. Для этого можно использовать автоматизированную обучающую платформу Kaspersky Automated Security Awareness Platform.

Кроме того, все рабочие устройства должны быть снабжены надежными защитными решениями, проверяющими запускаемые файлы и блокирующими вредоносный код. Наши решения детектируют вредоносную нагрузку этой атаки с вердиктом Trojan.Win32.Dedok.art, а также детектируют и блокируют атаку по поведению с вердиктом Trojan.Win32.Generic.

Блог Касперского

Read More

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x