Самая свежая кибератака такого типа происходила с марта по начало октября 2023 года. Ее особенностью являлось использование вредоносных приложений, написанных на Delphi, хотя в предыдущих атаках использовался код на .NET. Несмотря на то что инструменты кибератаки использованы базовые, данный метод не лишен эффективности.
В жизни многих специалистов обычным явлением являются разнообразные «брифы», списки требований и прочие документы. Расчет киберпреступников строится на том, что потенциальная жертва привыкла получать из непонятных источников архивы с разными файлами. Вредоносный архив выглядит примерно так:
Набор картинок, видео и исполняемый файл с иконкой от документа PDF. Кибермошенники не делают попытки воспользоваться одной из уязвимостей, например, в читалке Adobe Reader, речь идет о чистой социальной инженерии. Исполняемый файл сохраняет в системе несколько файлов, включая скрипт Powershell и нормальный документ PDF. PDF демонстрируется пользователю, и с его точки зрения, никакой проблемы пока не происходит. Тем временем по пути C:UsersPublicLibraries сохраняется и выполняется вредоносная библиотека libEGL.dll. Она, в свою очередь, находит все файлы .LNK, ссылающиеся на браузеры, созданные на основе открытого движка Chromium. В строку запуска браузера добавляется строка, инициирующая добавление в него вредоносного расширения. Браузеры тем временем принудительно закрываются, чтобы пользователь сам инициировал их перезапуск.
Расширение маскируется под легитимный аддон Google Docs Offline. На заглавной картинке вредоносная программа показана слева, справа — настоящее расширение от Google. Это расширение обеспечивает полноценную слежку за веб-активностью жертвы — на командный сервер отправляются данные обо всех открытых вкладках. Если вредоносная программа обнаруживает посещение соцсети Facebook, учетная запись пользователя проверяется на наличие бизнес-аккаунтов — управляемых жертвой корпоративных страниц. Доступ к учетным записям перехватывается, для чего в арсенале киберпреступников есть инструменты для кражи кук, доступа к API соцсети и обхода двухфакторной авторизации.
Наиболее часто злоумышленники атаковали пользователей из Индии. Инструментарий киберпреступников не поражает воображение, использованы довольно базовые, но надежные приемы для кражи пользовательских данных. Несмотря на простоту, такая тактика работает. Так, весной этого года был
Что еще произошло:
Еще одна
По данным Microsoft, уязвимость нулевого дня в популярном ПО для управления IT-инфраструктурой Sysaid активно
В рекламных объявлениях Google
Появились
Компания Microsoft теперь