На сайте российской энергетической компании нашли новый червь CMoon

На сайте российской энергетической компании нашли новый червь CMoon

На сайте российской энергетической компании нашли новый червь CMoon

CMoon — новый сетевой червь, который специалисты «Лаборатории Касперского» поймали на сайте одной из российских энергетических компаний.  Вредонос может извлекать конфиденциальные данные жертвы и запускать DDoS-атаки.

Как пишет Kaspersky, атакующие взяли в оборот несколько разделов целевого ресурса, подменив в них ссылки на скачивание нормативных документов. В результате посетители получали URL на загрузку вредоносных исполняемых файлов.

Помимо механизма распространения на другие устройства в сети, CMoon располагает возможностью вытаскивать конфиденциальные и платёжные данные жертвы и запускать DDoS-атаки на сайты.

Специалисты считают, что атака могла быть нацелена на подрядчиков и партнёров организации. Как только экспертам «Лаборатории Касперского» удалось идентифицировать червя, они связались с владельцем заражённого ресурса и предупредили о вредоносных ссылках.

Всего таких URL нашлось около двух десятков. Если пользователь переходил по ним, на компьютер скачивался самораспаковывающийся архив, в котором лежал сам документ и исполняемый файл. Последний и является CMoon, получивший своё имя из-за строк в коде.

Попав в систему, червь собирал файлы из директорий Desktop, Documents, Photos, Downloads, а также внешних носителей, после чего мог передать всё это операторам.

В Kaspersky нашли признаки целевой атаки: вредонос искал документы со подстроками «секрет», «служебн» и «парол». Кроме того, CMoon пытался копаться в данных, которые пользователи хранили в браузерах, и снимал скриншоты.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян PipeMagic маскируется под ChatGPT и расширил географию мишеней

Авторы целевых атак с использованием PipeMagic стали выдавать троянский бэкдор за приложение ChatGPT. Вредоносная фальшивка, подвергнутая анализу в «Лаборатории Касперского», оказалась написанной на Rust.

Модульный бэкдор, умеющий воровать конфиденциальные данные, впервые попал в поле зрения экспертов в 2022 году; на тот момент его применяли в атаках на организации азиатских стран. В прошлом месяце злоумышленники расширили географию своих интересов и объявились в Саудовской Аравии.

Распространяемый ими фейк содержит несколько ходовых библиотек Rust, создающих иллюзию легитимности. Однако при открытии приложения появляется пустое окно; как оказалось, за ним спрятан целевой зловред — массив зашифрованных данных размером 105 615 байт.

Троян использует алгоритм хеширования для поиска в памяти функций Windows API по соответствующим смещениям. После этого в систему загружается бэкдор, который настраивается и запускается на исполнение.

«Злоумышленники постоянно совершенствуют свои стратегии, чтобы атаковать более крупные жертвы, и расширяют своё присутствие, — предупреждает Сергей Ложкин, ведущий эксперт Kaspersky GReAT. — Примером этого стала кампания PipeMagic, в которой действие трояна было расширено от Азии до Саудовской Аравии. Мы ожидаем, что число кибератак с использованием этого бэкдора будет расти».

В прошлом году PipeMagic засветился в атаках, нацеленных на засев шифровальщика Nokoyawa. Для его запуска использовался опенсорсный скрипт MSBuild.

Стоит также отметить, что зловреды на Rust — давно уже не редкость. Использование этого языка программирования позволяет повысить быстродействие, эффективность и стабильность работы вредоносного кода, к тому же подобные творения вирусописателей способны работать на различных платформах.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru