Когда обычная установка Java оборачивается потерей корпоративных тайн.
В Казахстане выявлена активность хакерской группы под названием Bloody Wolf, которая использует вредоносное ПО (известное также как Strigoi Master) для атак на организации. Об этом компания по кибербезопасности .
Атаки начинаются с фишинговых писем, которые выглядят как сообщения от Министерства финансов Республики Казахстан и других государственных ведомств. Эти письма содержат -файлы, маскирующиеся под уведомления о несоответствии работы организации-жертвы различным требованиям.
Для придания атакам легитимности, одна из ссылок ведёт на веб-страницу, связанную с правительственным сайтом, призывающую установить Java для обеспечения работы портала. Однако вредоносное ПО STRRAT размещено на веб-сайте, лишь имитирующем официальный сайт правительства Казахстана (egov-kz[.]online).
Вредонос закрепляется в системе Windows с помощью изменения реестра и запускает -файл каждые 30 минут. Копия этого файла также дублируется в папку автозагрузки Windows, чтобы обеспечивать автоматический запуск при перезагрузке системы.
После установки STRRAT соединяется с сервером для кражи конфиденциальной информации с заражённого устройства. Среди похищенных данных — информация об операционной системе, установленном антивирусном ПО, а также учётные данные из Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook и Thunderbird.
Вредоносное ПО также может получать дополнительные команды с сервера для загрузки и выполнения новых вредоносных файлов, записи нажатий клавиш, выполнения команд через cmd.exe или PowerShell, перезапуска или выключения системы, установки прокси и самоуничтожения.
Использование JAR-файлов позволяет хакерам обходить многие защитные механизмы, а применение легитимных веб-сервисов, таких как Pastebin, для связи с заражённой системой помогает избегать обнаружения сетевыми решениями безопасности, отмечают в BI.ZONE.
В свете этих атак казахским организациям рекомендуется проявлять повышенную бдительность и усиливать меры кибербезопасности для предотвращения проникновения вредоносного ПО.
Подробнее:
В Казахстане выявлена активность хакерской группы под названием Bloody Wolf, которая использует вредоносное ПО (известное также как Strigoi Master) для атак на организации. Об этом компания по кибербезопасности .
Атаки начинаются с фишинговых писем, которые выглядят как сообщения от Министерства финансов Республики Казахстан и других государственных ведомств. Эти письма содержат -файлы, маскирующиеся под уведомления о несоответствии работы организации-жертвы различным требованиям.
Для придания атакам легитимности, одна из ссылок ведёт на веб-страницу, связанную с правительственным сайтом, призывающую установить Java для обеспечения работы портала. Однако вредоносное ПО STRRAT размещено на веб-сайте, лишь имитирующем официальный сайт правительства Казахстана (egov-kz[.]online).
Вредонос закрепляется в системе Windows с помощью изменения реестра и запускает -файл каждые 30 минут. Копия этого файла также дублируется в папку автозагрузки Windows, чтобы обеспечивать автоматический запуск при перезагрузке системы.
После установки STRRAT соединяется с сервером для кражи конфиденциальной информации с заражённого устройства. Среди похищенных данных — информация об операционной системе, установленном антивирусном ПО, а также учётные данные из Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook и Thunderbird.
Вредоносное ПО также может получать дополнительные команды с сервера для загрузки и выполнения новых вредоносных файлов, записи нажатий клавиш, выполнения команд через cmd.exe или PowerShell, перезапуска или выключения системы, установки прокси и самоуничтожения.
Использование JAR-файлов позволяет хакерам обходить многие защитные механизмы, а применение легитимных веб-сервисов, таких как Pastebin, для связи с заражённой системой помогает избегать обнаружения сетевыми решениями безопасности, отмечают в BI.ZONE.
В свете этих атак казахским организациям рекомендуется проявлять повышенную бдительность и усиливать меры кибербезопасности для предотвращения проникновения вредоносного ПО.
Подробнее: