Во вторник, 22 августа, специалисты "ISSP Labs" зафиксировали начало новой волны кибератак. Злоумышленники использовали официальный сайт компании по разработке комплекса бухгалтерского учета "Crystal Finance Millennium".
Об этом сообщают в компании ISSP.
"При мониторинге вирусной активности была обнаружена рассылка, в которой был идентифицирован интересный образец. Файл с названием "док.zip" загружается вместе с полученным электронным письмом, которое открывает жертва, и является текстовым файлом со скриптом на языке JavaScript", - говорится в сообщении.
Задача скрипта скачать и запустить исполняемый файл load.exe, который становится окном для злоумышленников.
Файл собирает информацию о компьютере жертвы и отправляет ее злоумышленникам. Этот же файл ждет указаний от хакеров на установку дополнительных модулей.
Они превращают компьютер жертвы в желаемый для хакеров ресурс (это может быть бэкдор, через который злоумышленники могут проникать в инфраструктуру, минуя средства защиты; кейлогер, который будет собирать информацию о нажатых клавишах и отправлять ее командным центрам; сканнер, который будет собирать информацию о захватываемой инфраструктуре и много другое).
"Вероятно, злоумышленники использовали уязвимости сайта для размещения там вредоносных файлов, либо это результат атаки NotPetya 27.06.2017. Так что возможно это первая "ласточка" подготовки полномасштабной кибератаки перед праздниками", - сообщают эксперты ISSP Labs.
Напомним, НБУ предупредил о возможной хакерской атаке на День Независимости.