Иранские киберпреступники создали новый вайпер для таргетированных атак

Иранские киберпреступники создали новый вайпер для таргетированных атак

Иранские правительственные хакеры разработали новое семейство вредоносных программ, предназначенное для атак на промышленный и энергетический секторы. Об этом предупредили специалисты компании IBM.

По словам аналитиков, за последними атаками стоят две группировки, одна из которых — APT34, а другую точно идентифицировать не удалось (известно, что она также действует из Ирана).

В этот раз злоумышленники выбрали себе в качестве цели объекты на Среднем Востоке. Конкретные имена изучавшие кибероперацию эксперты не привели.

Группировка APT34 в этом году было довольно активна. Например, именно с этими киберпреступниками связывают фишинговые атаки через деловую социальную сеть LinkedIn.

Что касается другой группы, участвовавшей в последних атаках, у исследователей есть основания считать, что это APT33 — наиболее известная иранская правительственная группировка.

APT33 стояла за кампаниями, в ходе которых использовался эксплойт для Microsoft Outlook, а также атаковала нефтяную и газовую отрасли в США.

IBM предупреждает, что в недавних операациях две группы использовали программу вайпер. Специалисты назвали её «ZeroCleare». Водоносы такого класса преследуют лишь одну цель — уничтожить всю информацию жертвы, не оставив возможность восстановления.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый вайпер Coronavirus выводит Windows-компьютеры из строя

Новая деструктивная программа для Windows, получившая имя «Coronavirus», использует тему COVID-19 и перезаписывает главную загрузочную запись (MBR). Принципом действия свежий зловред похож на NotPetya.

В 2017 NotPetya деструктивная деятельность привела к серьёзным финансовым потерям во всём мире.

По словам команды исследователей SonicWall Capture Labs Threat, свежий вайпер действует таким же образом. Жертвы вредоноса «Coronavirus» наблюдают серый экран, мигающий курсор и короткое сообщение: «Ваш компьютер испорчен».

Само собой, авторы вайпера специально использовали яркое имя, отражающее текущее положение дел, чтобы повысить вероятность запуска вредоносной программы.

Для загрузки на компьютер жертвы используются сразу несколько популярных методов: вложение с электронным письмом, доставка файла с сервера или маскировка под легитимное приложение.

После запуска вайпер копирует во временную папку ряд вспомогательных файлов. Далее вредоносная программа пытается отключить контроль учётных записей пользователей (UAC) и Диспетчер процессов Windows.

Согласно отчёту специалистов, вайпер меняет обои рабочего стола жертвы и запрещает с помощью настроек менять их.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru