Фахівці ISSP Labs 22 серпня зафіксували початок нової хвилі кібератак із використанням офіційного сайту компанії з розробки комплексу бухгалтерського обліку Crystal Finance Millennium. Про це повідомляють у компанії ISSP.
Під час моніторингу вірусної активності було виявлено розсилку, в якій ідентифіковано цікавий зразок. Файл із назвою «док.zip» завантажується разом з отриманим електронним листом, котрий відкриває жертва, і є текстовим файлом зі скриптом мовою JavaScript.
Скрипт є завантажувачем, основне завдання якого скачати й запустити виконуваний файл load.exe, який стає вікном для зловмисників.
Шкідливий файл збирає інформацію про комп'ютер жертви і відправляє її на командні центри зловмисників. Цей же файл чекає вказівок від зловмисників на установку додаткових модулів.
Вони перетворюють комп'ютер жертви у бажаний для хакерів ресурс (це може бути бекдор, через який зловмисники можуть проникати в інфраструктуру, минаючи засоби захисту; кейлогер, який збиратиме інформацію про натиснуті клавіші та відправляти її командним центрам; сканер, котрий буде збирати інформацію про інфраструктуру тощо).
Ймовірно, зловмисники використовували уразливості сайту для розміщення там шкідливих файлів, або це результат атаки NotPetya 27.06.2017. Так що, можливо, це перша «ластівка» підготовки повномасштабної кібератаки перед святами», — повідомляють експерти ISSP Labs.