Новый вредонос CommonMagic атакует ГОСов Донбасса и Крыма

Новый вредонос CommonMagic атакует ГОСов Донбасса и Крыма

Лаборатория Касперского” предупреждает о кибершпионаже на территории Крыма, ДНР и ЛНР. Хакеры рассылают ранее неизвестный вредонос CommonMagic. Программа делает скриншоты экрана и ворует файлы с USB.

Кибершпионаж длится как минимум с сентября 2021 года, говорится в сообщении пресс-службы «Лаборатории Касперского».

Атаки направлены на правительственные, сельскохозяйственные и транспортные организации Крыма, Луганской и Донецкой Народных Республик.

Хакеры используют ранее неизвестную специалистам по кибербезопасности вредоносную программу. Эксперты "Лаборатории Касперского" назвали её CommonMagic.

Сценарий выглядит так:

По электронной почте пользователь получает фишинговое письмо якобы от государственной организации. Рассылка содержит ZIP-архив, в котором есть и безвредный документ, и файл с вредоносной программой. Злоумышленники используют классический прием: файл содержит двойное расширение — например, .pdf.lnk.

Если скачать архив и нажать на ярлык, на устройство проникает бэкдор PowerMagic. Программа получает команды из удаленной папки, расположенной в публичном облаке, выполняет их и затем загружает результаты исполнения файлов обратно в облако.

PowerMagic внедряется в систему и остается в ней даже после перезагрузки зараженного устройства.

Её же используют для развертывания вредоносной платформы CommonMagic, которая состоит из нескольких модулей. Она может красть файлы с USB-устройств, а также делать скриншоты каждые три секунды и отправлять их атакующим.

«Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники — они не самые хитроумные, — а то, что в качестве командно-контрольной инфраструктуры используется облачное хранилище», – говорит Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского».

В компании отметили, что угроза до сих пор активна, ее исследование продолжается.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru