6Дек
Эксперты «Лаборатории Касперского» обнаружили целевые хакерские атаки на российские компании, занимающиеся продажей и сопровождением ПО для автоматизации бизнеса, в результате которых злоумышленники могли получить доступ к устройствам жертв и похитить конфиденциальные данные.
В большинстве случаев сценарий начинался с фишинговой рассылки. Организации, занимающиеся внедрением продуктов для автоматизации бизнеса, а также их настройкой, сопровождением и консультированием, получали письма якобы от имени существующих компаний, которые создают такие решения. В письме была просьба ознакомиться с неким техническим заданием, приложенным в архиве.
В одном варианте атаки в архиве был только один исполняемый файл, который позволял осуществить атаку с использованием Right-to-Left Override (RLO). RLO — особый непечатный символ кодировки Unicode, который зеркально отражает расположение знаков. Обычно он используется при работе с языками, в которых текст идёт справа налево, например, с арабским языком или ивритом. Однако злоумышленники могут использовать его, чтобы подменять название и расширение файлов. В этом случае пользователь открывает файл, не подозревая, что он вредоносный. В другом варианте атаки в архиве была карточка предприятия, документ в формате PDF и LNK-файл (ярлык). Если пользователь нажимал на вредоносный ярлык, запускалась цепочка заражения.
Злоумышленники использовали троянец удалённого доступа Remcos, загрузчик DarkGate, а также ранее неизвестный зловред BrockenDoor. Последний связывался с сервером злоумышленников и отправлял им различную информацию, например имя пользователя и компьютера, версию операционной системы, список найденных на рабочем столе файлов. Если она казалась злоумышленникам интересной, они отправляли бэкдору команды для запуска дальнейших сценариев атаки. Новый зловред получил название «Брокенский призрак». Это оптический феномен (Brocken Spectre), который можно наблюдать в горах при определённых условиях.
Специалисты «Лаборатории Касперского» изначально обратили внимание на этот сценарий из-за нестандартного использования RLO. Какая группа ответственна за эти атаки, пока неизвестно.
По материалам cnews.ru.