В начале июля этого года специалисты по информационной безопасности Лаборатории Касперского заявили о проведении двух волн вредоносных почтовых рассылок на адреса различных отечественных компаний, среди которых были государственные структуры, производственные и энергетические предприятия, финансовые организации. Об этом специалисты сообщили на своём официальном сайте.
В общей сложности эксперты Лаборатории Касперского выявили около 1 000 адресов получателей. Проведённое расследование этого инцидента показало, что в случае, если пользователь открывал вложение из фишингового письма или же активировал ссылку, то в пользовательскую систему происходила автоматическая загрузка вредоносного программного обеспечения под названием PhantomDL, написанного на языке программирования Go.
Фишинговые сообщения киберпреступниками рассылались якобы от имени контрагента атакуемой компании. Причём письма имитировали продолжение уже якобы существующей переписки. Эксперты по кибербезопасности Лаборатории Касперского отметили, что с высокой долей вероятности почтовые ящики отправителей предварительно были скомпрометированы киберпреступниками. После этого письма были изучены для придания большей убедительности фишинговым сообщениям.
В рассылаемых мошенниками письмах был прикреплён RAR-архив или приложена ссылка, ведущая на вредоносный сайт. Прикреплённый файл имел пароль. В случае открытия этого файла пользователю предлагалось загрузить на свой компьютер файл с двойным расширением, например, Счёт-Фактура.docx.exe.
С помощью этого вредоносного программного обеспечения, которое автоматически загружалось после открытия файла на пользовательском устройстве, начиналась эксплуатация уязвимости CVE-2023-38831, которая была устранена разработчиками ещё в августе 2023 года. После того как эксплойт отрабатывался, в пользовательскую систему автоматически устанавливался бэкдор PhantomDL, который хакерами применяется для кражи конфиденциальных данных, файлов, а также загрузки и запуска вымогательного вредоносного программного обеспечения.
Оригинал публикации на сайте CISOCLUB: "Хакеры стараются внедрить в российские промышленные и финансовые организации бэкдор PhantomDL".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
