«Лаборатория Касперского» обнаружила атаки на российские учреждения с целью кражи данных
Летом 2023 года «Лаборатория Касперского» выявила массовые вредоносные рассылки по десяткам российских учреждений из государственного и индустриального сектора. Злоумышленники рассылали письма якобы от регулятора с вложенным вредоносным архивом. Он запускал вредоносный скрипт, который с помощью нескольких модулей пытался украсть данные с заражённого устройства: снимки экрана, документы, пароли из браузеров, информацию из буфера обмена.
Техническая сторона атаки. Злоумышленники начали рассылать письма в июне 2023 года. Если жертва откроет вредоносный архив из такого сообщения, на устройстве автоматически запускается скрипт [NSIS].nsi, который открывает легитимный подложный документ в формате PDF, чтобы отвлечь внимание жертвы. Одновременно скрипт запускает загрузку и установку вредоносного бэкдора в скрытом окне, который он получает с веб-ресурса. При этом название сайта имитирует сайт официального ведомства.
После запуска зловред проверяет доступ в интернет и пытается подключиться к легитимным веб-ресурсам — зарубежным СМИ. Затем он проверяет заражённое устройство на наличие ПО и инструментов, которые могли бы обнаружить его присутствие — например, песочниц или виртуальных сред. В случае наличия хотя бы одной, бэкдор прекращал свою активность. Когда все проверки были пройдены, зловред подключался к серверу атакующих и загружал модули, которые позволяли ему красть информацию из буфера обмена, делать снимки экрана, находить пользовательские документы в популярных расширениях (например, doc, .docx, .pdf, .xls, .xlsx). Все данные передавались на сервер управления.
Вторая волна. Новую версию описанного бэкдора исследователи заметили в середине августа этого же года. Используемая цепочка заражения не изменилась, вредоносный скрипт-загрузчик был идентичным. Среди отличий — злоумышленники убрали проверку доступа в интернет через обращение к легитимным веб-ресурсам: теперь вредоносная программа сразу же подключалась к серверу управления. Также в арсенале зловреда появился модуль, который позволял красть пароли из браузеров. Помимо этого, увеличилось количество проверок среды на наличие инструментов, способных обнаружить вредоносную активность.
—