Новая крупная кампания кибершпионов направлена против российского малого и среднего бизнеса. За действиями злоумышленников пристально следили специалисты «Лаборатории Касперского».
Группировка DeathStalker, по словам экспертов, занимается кибершпионажем с 2012 года. Среди жертв злоумышленников есть компании малого и среднего бизнеса по всему миру.
Не так давно DeathStalker начала атаковать российские организации. Как рассказали исследователи, группа в последнее время стала особенно активна.
«Лаборатория Касперского» следит за DeathStalker с 2018 года. За это время тактика злоумышленников, их техники и инструментарий остались теми же. Однако это не мешает группировке проводить успешные атаки.
Всё начинается крайне банально — с фишингового письма, начинённого вредоносными файлами. При открытии вложения запускается скрипт, загружающий на компьютер жертвы злонамеренную программу.
Конечная цель — похитить данные финансовой деятельности компании. В этом злоумышленникам помогает вредонос, позволяющий полностью контролировать устройство жертвы.
Помимо прочего, в арсенале DeathStalker есть инструменты Powersing, Evilnum и Janicab, позволяющие снимать скриншоты. Также вредоносные программы умеют маскировать своё присутствие в системе.
В тех атаках, где фигурировал Powersing, злоумышленники внедряли в легитимный трафик бэкдор, что существенно ослабляло защитные возможности целевого устройства.
