Выявлено более 10 тысяч атак с использованием новых вредоносных скриптов
Как выяснили эксперты, злоумышленники применяют не только бэкдоры, кейлоггеры и майнеры, но и новые вредоносные скрипты, позволяющие отключить функции безопасности и облегчить загрузку вредоносных программ.
Кампания в цифрах. По данным телеметрии «Лаборатории Касперского», кампания продолжается: с мая по октябрь было совершено более 10 тысяч атак, которые затронули более 200 пользователей. Целью злоумышленников в первую очередь были государственные организации, сельскохозяйственные и торговые предприятия из России, Саудовской Аравии, Вьетнама, Бразилии и Румынии. Отдельные случаи были зафиксированы в США, Индии, Марокко и Греции.
Как действуют атакующие. ФБР ранее сообщило, что организации из разных стран подвергаются атакам c использованием сразу нескольких видов вредоносного ПО. Злоумышленники заражают их устройства для того, чтобы с помощью майнеров использовать ресурсы компании для добычи криптовалюты. Помимо этого, используются кейлоггеры для кражи данных и бэкдоры — для получения доступа к системе.
Злоумышленники могут проникать в систему, эксплуатируя уязвимости на серверах и рабочих станциях. Эксперты «Лаборатории Касперского» также обнаружили, что для атак используются новые версии вредоносных скриптов. С их помощью атакующие пытаются обойти Microsoft Defender, а также получить права администратора и помешать работе антивирусных компонентов. Если им это удаётся, они загружают бэкдор, кейлоггер и майнер с веб-ресурса, который сейчас уже недоступен. Майнер использует ресурсы системы, чтобы добывать различные криптовалюты, например Monero (XMR). В свою очередь кейлоггер фиксирует, какие клавиши нажимает пользователь на клавиатуре и мыши, а бэкдор устанавливает связь с сервером управления и контроля (C2) для получения и передачи данных. Это позволяет злоумышленникам получить удалённый контроль над скомпрометированной системой.
«Эта кампания с использованием различного вредоносного ПО быстро развивается, и, как мы видим, появляются новые модификации инструментов для совершения атак. По всей видимости, злоумышленники стремятся извлечь финансовую выгоду любым возможным способом. Как показало наше исследование, цель атак не ограничивается только майнингом криптовалют. Злоумышленники могут красть учётные данные, чтобы затем продавать их в даркнете, или же реализовывать более сложные сценарии, используя возможности бэкдоров, — комментирует Василий Колесников, эксперт по кибербезопасности „Лаборатории Касперского”. — Наши решения, такие как Kaspersky Endpoint Security, помогают выявлять попытки заражения, в том числе с использованием новых модификаций, благодаря их широкому защитному функционалу».