"Лаборатория Касперского" выявила кибератаки в Донбассе и Крыму с новым вирусом.
С 2021 года в ДНР, ЛНР и Крыму продолжается кампания кибершпионажа, которая направлена на правительственные, транспортные и сельскохозяйственные организации, рассказали РБК в "Лаборатории Касперского". Используется в ней ранее неизвестная специалистам по кибербезопасности вредоносная программа под названием CommonMagic.
Атака, предположительно, начинается с рассылки целевых фишинговых писем по электронной почте. Жертвам они поступают от имени госорганизаций. Нажав на ссылку, жертва скачивает с вредоносного веб-сервера ZIP-архив с двумя файлами. Первый - безвредный документ-приманка (в формате PDF, XLSX или DOCX), второй является вредоносным LNK-файлом с двойным расширением (.pdf.lnk).
Если архив скачать и нажать на ярлык, на устройство проникает бэкдор PowerMagic. Команды она получает из удаленной папки в публичном облаке, из выполняет и потом загружает результаты исполнения файлов обратно в облако. PowerMagic внедряется в систему и остается там даже после перезагрузки зараженного устройства. Ее используют также для развертывания вредоносной платформы CommonMagic, состоящей из нескольких модулей. Например, она может с USB-устройств красть файлы, каждые три секунды делать скриншоты и отправлять их атакующим.
Эксперт по кибербезопасности в "Лаборатории Касперского" Леонид Безвершенко сообщил, что специалисты следят за этой кампанией. В ней примечательны не вредоносное ПО и техники - они не самые хитроумные, а то, что облачное хранилище используется в качестве командно-контрольной инфраструктуры. Эту угрозу продолжают исследовать, чтобы позднее рассказать о CommonMagic больше.
Фото ТЕЛЕПОРТ.РФ
При использовании материалов активная индексируемая гиперссылка на сайт ТЕЛЕПОРТ.РФ обязательна.
