Обнаружена атака на российские учреждения с целью кражи данных

Злоумышленники начали рассылать письма в июне 2023 года. Если жертва откроет вредоносный архив из такого сообщения, на устройстве автоматически запускается скрипт [NSIS].nsi, который открывает легитимный подложный документ в формате PDF, чтобы отвлечь внимание жертвы. Одновременно скрипт запускает загрузку и установку вредоносного бэкдора в скрытом окне, который он получает с веб-ресурса. При этом название сайта имитирует сайт официального ведомства.

После запуска зловред проверяет доступ в интернет и пытается подключиться к легитимным веб-ресурсам — зарубежным СМИ. Затем он проверяет заражённое устройство на наличие ПО и инструментов, которые могли бы обнаружить его присутствие — например, песочниц или виртуальных сред. В случае наличия хотя бы одной, бэкдор прекращал свою активность. Когда все проверки были пройдены, зловред подключался к серверу атакующих и загружал модули, которые позволяли ему красть информацию из буфера обмена, делать снимки экрана, находить пользовательские документы в популярных расширениях (например, doc, .docx, .pdf, .xls, .xlsx). Все данные передавались на сервер управления.

Новую версию описанного бэкдора исследователи заметили в середине августа этого же года. Используемая цепочка заражения не изменилась, вредоносный скрипт-загрузчик был идентичным. Среди отличий — злоумышленники убрали проверку доступа в интернет через обращение к легитимным веб-ресурсам: теперь вредоносная программа сразу же подключалась к серверу управления. Также в арсенале зловреда появился модуль, который позволял красть пароли из браузеров. Помимо этого, увеличилось количество проверок среды на наличие инструментов, способных обнаружить вредоносную активность.

«Фишинговые письма — один из популярных способов проникновения злоумышленников в инфраструктуру. Атакующие, как в данном случае, стремятся использовать правдоподобные легенды, легитимные документы и применять всё более сложные тактики для скрытия своей деятельности. Так, исполнение вредоносного кода с помощью .nsi скрипта усложняет анализ вредоносной активности. Кроме того, мы отмечаем, что атакующие постоянно ищут новые изощрённые способы обойти защитные решения. Важно оставаться настороже и обращать внимание на любые подозрительные детали даже в деловых переписках», — комментирует Тимофей Ежов, эксперт по кибербезопасности «Лаборатории Касперского». 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!