 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
24 апреля, среда, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Злоумышленники используют инфраструктуру легитимных сервисов для распространения трояна RevengeRAT.
Специалисты компании Unit 42 обнаружили масштабную кампанию по распространению трояна удаленного доступа RevengeRAT. Для обхода защитных решений при передаче вредоносных файлов злоумышленники использовали сайты Blogspot, Pastebin и сервис Bit.ly. Намерения преступников пока что неизвестны, их целями являются организации из стран Ближнего Востока, Азии, Европы и Северной Америки.
Эксперты изучили сообщение, полученное якобы от крупного финансового учреждения. В теме письма злоумышленники сообщали о блокировке учетной записи. Во вложении находился файл в формате .doc, в котором помещалось изображение с просьбой разрешить запуск макросов.
Когда жертва выдавала это разрешение, на компьютер методом внедрения шаблона скачивался OLE-файл с внешнего сервера. Встроенные в него макросы загружали Excel-документ с обфусцированным кодом, который расшифровывал и открывал URL злоумышленников.
Ссылка вела на страницу сайта Blogspot и была сокращена с помощью Bit.ly. Оттуда с помощью встроенного приложения mshta в систему жертвы проникал вредоносный JavaScript. Скрипт пытался удалить список сигнатур Защитника Windows и приостановить его работу, отключить безопасный режим в Word, PowerPoint и Excel, а затем загружал исполняемые файлы с сайта Pastebin.
В качестве полезной нагрузки выступала одна из версий трояна RevengeRAT под названием Nuclear Explosion. В результате злоумышленники получали удаленный доступ к зараженным системам и могли управлять файлами, процессами, службами и реестром Windows, а также отслеживать IP-адрес жертвы, регистрировать нажатия клавиш, сбрасывать пароли и даже использовать веб-камеру устройства.
«К сожалению, имеющиеся данные не позволяют определить какие-либо мотивы злоумышленников, помимо компрометации как можно большего количества жертв, — сообщили эксперты в эту среду. — Пока что действия преступников наводят на мысли о Gorgon Group, но это требует дополнительного анализа».
Специалисты уже сталкивались со схемами этой группировки. В августе 2018 года они обнаружили фишинговую атаку на правительственные организации Великобритании, Испании, России и США. Связать вредоносную активность с Gorgon Group аналитикам помогли в том числе и ошибки самих преступников.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
