Специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC выявили новую киберпреступную группировку. Она использует сложную схему атаки и уникальное вредоносное ПО, не известное ранее. Новая группировка получила название TinyScouts – по сочетанию наименования главных функций в коде. На данный момент эксперты фиксируют атаки на банки и энергетические компании.
На первом этапе атаки киберпреступники рассылают сотрудникам организаций фишинговые письма, в которых получателя предупреждают о начале второй волны пандемии коронавируса и для получения дополнительной информации предлагают пройти по ссылке. Встречаются также варианты фишинговых писем, имеющий четкий таргетинг: сообщение напрямую относится к деятельности организации и выглядит вполне убедительно, однако также содержит вредоносную ссылку.
Кликнув по ней, жертва запускает загрузку основного компонента вредоносного ПО, которая происходит в несколько итераций. На этом этапе злоумышленники действуют максимально медленно и осторожно, поскольку каждый шаг в отдельности не привлекает внимания службы безопасности и систем защиты информации. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников.
На следующем этапе атаки вредоносное ПО собирает информацию о зараженном компьютере и передает ее злоумышленникам. Если данный узел инфраструктуры не представляет для них существенного интереса, то на него загружается дополнительный модуль – «вымогатель», шифрующий всю информацию на устройстве и требующий выкуп за расшифрование. В ходе атаки используется и легитимное ПО, в частности, принадлежащее компании Nirsoft. Перед тем, как данные на компьютере будут зашифрованы, оно собирает пароли пользователя из браузеров и почтовых клиентов, не оставляя заметных следов активности, поскольку не требует установки и не формирует записей в реестре ОС.
Продолжение читайте на нашем сайте
