Хакерская группировка под названием Mad Liberator начала проводить широкомасштабные атаки против пользователей программного обеспечения AnyDesk по всему миру. В ходе этих атак злоумышленники запускают фейковый экран обновления операционной системы Windows, чтобы отвлечь внимание потенциальных жертв от извлечения конфиденциальных данных с их устройств. Об этом накануне рассказало издание Bleeping Computer.
По словам специалистов по информационной безопасности из компании Sophos, атака хакеров из Mad Liberator начинается с несанкционированного подключения к компьютеру с использованием приложения удалённого доступа AnyDesk, которое популярно среди ИТ-отделов, управляющих корпоративными средами.
Как отмечают исследователи, до сих пор неясно, как хакеры Mad Liberator выбирают свои цели. Одна из теорий, хотя и не доказанная, заключается в том, что Mad Liberator пробует потенциальные адреса (идентификаторы подключений AnyDesk) до тех пор, пока кто-то не примет запрос на подключение.
После одобрения запроса на подключение злоумышленники устанавливают на взломанную систему двоичный файл с именем Microsoft Windows Update, который отображает поддельный экран-заставку Windows Update.
Единственная цель этой уловки — отвлечь жертву, пока злоумышленник использует инструмент передачи файлов AnyDesk для кражи данных из учётных записей OneDrive, сетевых папок и локального хранилища. Во время отображения поддельного экрана обновления клавиатура жертвы отключается, чтобы не прерывать процесс эксфильтрации.
В атаках, зафиксированных Sophos и длившихся около четырёх часов, хакеры из Mad Liberator не выполняли никакого шифрования данных на этапе после эксфильтрации. Однако они всё равно оставляли записки с требованием выкупа в общих сетевых каталогах, чтобы обеспечить максимальную видимость в корпоративной среде.
Компания Sophos отмечает, что не наблюдала взаимодействия хакерской группы Mad Liberator с целью до запроса на подключение AnyDesk и не зарегистрировала никаких попыток фишинга, поддерживающих атаку.
Оригинал публикации на сайте CISOCLUB: "Хакеры начали использовать поддельный экран обновления Windows для того, чтобы скрыть кражу данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
