Киберпреступники Turla атакуют пользователей Microsoft Outlook бэкдором

Олег Иванов 27 Августа 2018 - 15:07

Домашние пользователи

Корпорации

Eset

Утечки информации

Умышленные утечки информации

Кража данных

...

Киберпреступники Turla атакуют пользователей Microsoft Outlook бэкдором

Эксперты антивирусной компании ESET проанализировали бэкдор кибершпионской группы Turla, используемый для кражи конфиденциальных данных госучреждений в странах Европы. Киберпреступники управляли программой через Microsoft Outlook, отправляя команды в PDF-файлах во вложении.

Вредоносная программа была найдены на нескольких компьютерах Федерального министерства иностранных дел Германии. Изначально злоумышленники скомпрометировали Федеральную высшую школу государственного управления и перемещались в ее сети, пока не проникли в МИД в марте 2017 года.

Бэкдор на протяжении года обеспечивал хакерам доступ к данным, включая почту сотрудников.

Операторы Turla используют для связи с бэкдором электронные письма, содержащие специально созданные PDF-файлы во вложении. Так они могут отправлять на зараженный компьютер целый ряд команд: выслать данные, загрузить в систему дополнительные файлы, выполнить другие программы и запросы. Собранная информация также будет отправлена киберпреступникам в формате PDF.

Бэкдор проверяет каждое входящее письмо на наличие PDF-файла с командами. Следовательно, зловред выполнит команды любого, кто сможет закодировать их в PDF-документе.

Каждый раз, когда жертва получает или отправляет письмо, бэкдор сохраняет данные о нем, включая адреса отправителя и получателя, тему и название вложения. Эта информация регулярно пересылается операторам Turla в PDF-документах.

Кроме того, бэкдор дублирует своим операторам все исходящие письма жертвы. Почта уходит одновременно с отправкой настоящих писем, поэтому подозрительный трафик за пределами рабочего дня пользователя отсутствует.

Чтобы скрыть свою активность, бэкдор блокирует уведомления о входящих письмах от операторов. Отправленная хакерам почта также не отображается в почтовом ящике. Однако у пользователя есть шанс заподозрить неладное — в момент поступления письма с командами можно видеть индикатор непрочтенного входящего сообщения в течение нескольких секунд.

Новейшие версии бэкдора нацелены на Microsoft Outlook, более старые позволяли также работать с почтовым клиентом The Bat!.

Специалисты уточняют, что это первый бэкдор, использующий стандартный интерфейс программирования приложений электронной почты – MAPI. В ESET отдали должное профессионализму Turla — на данный момент это единственная группа, способная создавать подобные вредоносные инструменты.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Апреля 2026 - 12:27

Android Трояны Шпионские программы Программы слежения Домашние пользователи F6

Мошенники присылают россиянам Android-смартфоны со встроенным шпионом

Компания Эфшесть/F6 рассказала о необычной мошеннической схеме, которую начали использовать злоумышленники против клиентов российских банков. Речь идёт об Android-трояне LunaSpy — шпионской вредоносной программе, которая в одном из случаев попала к жертве не через ссылку или файл, а сразу вместе со смартфоном.

По данным специалистов Эфшесть/Эфшесть/F6, в феврале и марте 2026 года удалось зафиксировать около 300 таргетированных атак с использованием LunaSpy.

Это уже вполне таргетированные атаки, в которых злоумышленники заранее готовят устройство и затем убеждают человека начать им пользоваться.

Сам LunaSpy — это шпионский софт для Android с богатой функциональностью. Он может перехватывать управление камерой и микрофоном, записывать экран и собирать данные с устройства. Заражённый смартфон в руках жертвы превращается в удобный инструмент тотального наблюдения.

Схема атаки выглядит особенно неприятно именно из-за своей подачи. Сначала злоумышленники используют социальную инженерию, а затем внушают человеку, что доставленный ему смартфон якобы обеспечит повышенную безопасность и конфиденциальность. На деле всё наоборот: вредоносная программа уже установлена заранее, а нужные разрешения для её работы, по сути, готовы ещё до того, как пользователь начинает пользоваться устройством.

В исследованных образцах LunaSpy маскировался под якобы антивирусное решение System framework, хотя, как отмечают в Эфшесть/F6, названия могут меняться.

У трояна есть механизмы самозащиты, которые мешают его удалить. Например, если пользователь открывает окно удаления приложения, под которым скрывается зловред, LunaSpy может сам нажать системную кнопку «Назад» и одновременно отправить уведомление на сервер злоумышленников.

Любые действия жертвы, которые могут помешать преступникам, тоже могут быть замечены заранее. С учётом возможностей LunaSpy по шпионажу за экраном, микрофоном и камерой социальная инженерия становится ещё опаснее: злоумышленники буквально получают больше контекста о том, что делает человек, и могут точнее направлять его действия. В исследованном устройстве специалисты также нашли мессенджер на базе протокола Matrix, через который преступники поддерживали контакт с жертвой.

Как отметил руководитель департамента Эфшесть/F6 по противодействию финансовому мошенничеству Дмитрий Ермаков, такие атаки открывают новый потенциальный вектор мошеннических схем: доставка вредоносной программы вместе с уже подготовленным устройством. По его словам, если этот подход начнёт развиваться, у злоумышленников появится ещё больше возможностей для скрытого контроля над смартфоном.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!