Шпионы XDSpy используют 0-day в Windows LNK для атак на госструктуры

Шпионы XDSpy используют 0-day в Windows LNK для атак на госструктуры

Шпионы XDSpy используют 0-day в Windows LNK для атак на госструктуры

Расследование, запущенное в HarfangLab по результатам анализа эксплойта нулевого дня, обнаруженного в LNK-файлах, показало, что он используется в рамках новой шпионской кампании XDSpy на территории Белоруссии и России.

Промышляющая шпионажем кибергруппа XDSpy интересуется секретами стран Восточной Европы с 2011 года. В минувшем марте злоумышленники возобновили атаки на госструктуры и частные компании.

Эксплойт к уязвимости в Windows, которую Microsoft отказалась патчить из-за ничтожного, по ее мнению, риска, применяется для доставки загрузчика, которого в HarfangLab нарекли ETDownloader.

Конечной целью подобных атак, по всей видимости, является развертывание стилера XDigo. В ходе исследования французские эксперты обнаружили ряд новых образцов написанного на Go трояна.

Девять подвергнутых анализу эксплойт-файлов LNK с именами «доказательство», «проект» и т. п., распространяются через так же названные, но на латинице, архивы, содержащие помимо LNK еще один ZIP.

При распаковке последнего высвобождаются переименованный легитимный экзешник с подписью Microsoft, маскировочный PDF и вредоносная DLL (ETDownloader) , загружаемая по методу sideloading.

 

Целевой стилер XDigo умеет воровать данные из браузеров (почти 30 имен) и клиентов имейл (Mozilla Thunderbird, Microsoft Outlook), отыскивать нужные файлы, извлекать содержимое из буфера обмена, делать скриншоты, а также выполнять команды на запуск бинарников, загруженных со стороннего сервера.

Выявленные мишени текущих атак XDSpy — минская компания с господдержкой, российские ретейлеры, финансисты, страховщики, почтовые госсервисы. Шпионы даже заточили самозащиту своих инструментов под цели в этих регионах: зловреды неизменно пытаются обойти PT Sandbox, сетевую песочницу в исполнении Positive Technologies.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенник обманул сотрудников магазина под видом технического специалиста

Управление по организации борьбы с неправомерным использованием информационно-коммуникационных технологий МВД России (УБК МВД) сообщило о необычной схеме мошенничества, жертвой которой стали сотрудники одного из магазинов. Злоумышленник представился сотрудником технической службы эквайринговой компании.

Подробности УБК МВД опубликовало в телеграм-канале «Вестник киберполиции России». Мошенник использовал легенду о проверке мобильных терминалов, применяемых для приёма платежей по банковским картам.

Он позвонил директору магазина и, представившись специалистом эквайринговой компании, потребовал провести «тестовую операцию». Для этого руководителю предложили перевести деньги со своего счёта на указанный номер карты.

Аферист уверял, что средства вернутся через 15–20 минут, а для убедительности попросил отправить чек об оплате через облачный сервис для обмена файлами.

Как отметили в УБК МВД, в ходе атаки мошенник использовал сразу несколько приёмов социальной инженерии. Во-первых, для придания звонку официального статуса он настоял, чтобы действия выполнял не рядовой сотрудник, а директор.

Во-вторых, создал ситуацию срочности, вынудив провести «проверку» немедленно, без возможности перепроверить информацию. И, наконец, сам повод выглядел правдоподобно, ведь магазины действительно периодически взаимодействуют с эквайринговыми компаниями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru