Обнаружена новая вредоносная кампания против электроэнергетического сектора ( 1 фото )
- 20.08.2019
- 874
Злоумышленники рассылают сотрудникам предприятий фишинговые письма с целью заразить системы трояном Adwind.
Исследователи компании Cofense обнаружили новую вредоносную кампанию, нацеленную на предприятия электроэнергетической промышленности. С помощью фишинговых писем злоумышленники пытаются заразить компьютерные сети компаний трояном для удаленного доступа (RAT) Adwind.
Создатели Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat) предлагают его своим клиентам по схеме «вредоносное ПО как услуга» (malware-as-a-service, MaaS). Вредонос отличается впечатляющим функционалом – он способен похищать конфиденциальные данные (цифровые сертификаты и учетные данные пользователей Chrome, IE и Edge), регистрировать нажатия клавиш на клавиатуре, записывать аудио и видео, делать фотоснимки с помощью web-камеры скомпрометированного устройства, майнить криптовалюту и похищать криптовалютные кошельки.
В данной конкретной кампании злоумышленники рассылают фишинговые письма исключительно сотрудникам предприятий электроэнергетической промышленности, успешно обходя спам-фильтры. Письма рассылаются со взломанной электронной почты компании Friary Shoes, при этом ее серверы используются для хранения и доставки Adwind на компьютеры жертв.
Фишинговые письма содержат вложение, внешне похожее на PDF-документ, но на самом деле являющееся jpg-файлом со встроенной гиперссылкой. Когда жертва нажимает на вложение, то переходит по вредоносной URL-ссылке, откуда на ее систему загружается первоначальная полезная нагрузка (JAR-файл Scan050819.pdf_obf.jar).
Загрузившись на компьютер, Adwind подключается к C&C-серверу и добавляет все зависимости и собранные данные в папку C:UsersByteAppDataLocalTemp. На втором этапе заражения вредонос находит и отключает известное аналитическое и антивирусное ПО с помощью легитимной утилиты taskkill от Microsoft.
Positive Technologies проводит опрос по APT атакам. Предлагаем вам анонимно ответить на несколько вопросов: https://surveys.hotjar.com/s?siteId=1095096&surveyId=139755 .
Материал взят: Тут