Особо опасная фишинговая кампания использует ссылки на виртуальные диски, маскируя под PDF-файлы вредоносное ПО AsyncRAT. Киберпреступники пользуются привычкой пользователей открывать PDF, что позволяет им получить удаленный доступ к компьютерам компаний. — csoonline.com
Особенно коварная фишинговая кампания маскирует вредоносное ПО под видом обычных PDF-документов, скрывая его за ссылками на виртуальные жесткие диски. Поскольку сотрудники привыкли получать заказы или счета в формате PDF, они, скорее всего, бездумно откроют вредоносные файлы, позволяя содержащемуся в них вредоносному ПО — в данном случае AsyncRAT, трояну удаленного доступа — взять под контроль корпоративные компьютеры.
В этой фишинговой кампании электронные письма не содержат прямого вложения документа, а включают ссылки на файл, размещенный в IPFS (InterPlanetary File System) — децентрализованной сети хранения данных, которая все чаще используется киберпреступниками, поскольку к ней можно получить доступ через обычные веб-шлюзы. Эти файлы представляют собой виртуальные жесткие диски, которые при открытии монтируются как локальный диск, обходя некоторые функции безопасности Windows. Внутри диска находится файл сценария Windows (WSF), выдаваемый за ожидаемый PDF: когда пользователь открывает его, Windows выполняет код в файле, оставляя компьютер уязвимым для эксплуатации удаленными пользователями.
Для защиты организации и пользователи ПК должны настроить Windows на отображение расширений файлов, посоветовали в MalwareBytes Labs в своем блоге, отметив, что Securonix обнаружила кампанию вредоносного ПО Dead#Vax.
Эта статья впервые появилась на Computerworld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Maxwell Cooter