- Специальный корреспондент
Обнаружена масштабная вредоносная рассылка для сбора информации.
7 июля специалисты «Лаборатории Касперского» новую серию целенаправленных кибератак. Злоумышленники рассылают вредоносный файл, маскирующийся под документ с названием «Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА». Масштаб атаки указывает на то, что её целью является сбор конфиденциальной информации.
Коварный файл с расширением .scr на самом деле является инсталлятором. Чтобы усыпить бдительность пользователя, он извлекает из себя и открывает PDF-документ по теме БПЛА, одновременно скрытно загружая дополнительное вредоносное ПО и утилиту для работы с RAR-архивами.
Хакеры нацелены на офисные документы форматов .doc и .docx, хранящиеся на дисках C:, D: и E:, а также на содержимое папки «Telegram Desktop\tdata», где находятся данные десктопной версии популярного мессенджера. Сформированные архивы с информацией впоследствии отправляются на почту злоумышленнику с помощью еще одной консольной утилиты, извлеченной из скачанного архива.
Кроме того, атакующие используют утилиту Web Browser Pass View для кражи паролей из браузеров и устанавливают легитимную программу для мониторинга активности пользователя. Эта программа способна перехватывать нажатия клавиш, отслеживать интернет-активность, делать скриншоты и отправлять отчеты злоумышленникам.
Эксперты отмечают, что подобные атаки не новы и встречаются с 2019 года. Основные различия заключаются в теме документа-приманки и названии вредоносного инсталлятора. В 2023 году файлы часто содержали фразу «1C.Предприятие Платежная накладная». В 2024 году используются разнообразные названия, связанные с техническими и аналитическими документами, например «Проект ТТТ 26.2024-2.scr», «пневмокатапульта с самолетом.step.scr», «аналитическая справка.pdf.scr».
В ходе этой атаки вредоносные архивы загружались с ресурса accouts-verification[.]ru, а данные жертв отправлялись на сервер hostingforme[.]nl. Ранее для этих целей использовался сайт detectis[.]ru.
7 июля специалисты «Лаборатории Касперского» новую серию целенаправленных кибератак. Злоумышленники рассылают вредоносный файл, маскирующийся под документ с названием «Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА». Масштаб атаки указывает на то, что её целью является сбор конфиденциальной информации.
Коварный файл с расширением .scr на самом деле является инсталлятором. Чтобы усыпить бдительность пользователя, он извлекает из себя и открывает PDF-документ по теме БПЛА, одновременно скрытно загружая дополнительное вредоносное ПО и утилиту для работы с RAR-архивами.
Хакеры нацелены на офисные документы форматов .doc и .docx, хранящиеся на дисках C:, D: и E:, а также на содержимое папки «Telegram Desktop\tdata», где находятся данные десктопной версии популярного мессенджера. Сформированные архивы с информацией впоследствии отправляются на почту злоумышленнику с помощью еще одной консольной утилиты, извлеченной из скачанного архива.
Кроме того, атакующие используют утилиту Web Browser Pass View для кражи паролей из браузеров и устанавливают легитимную программу для мониторинга активности пользователя. Эта программа способна перехватывать нажатия клавиш, отслеживать интернет-активность, делать скриншоты и отправлять отчеты злоумышленникам.
Эксперты отмечают, что подобные атаки не новы и встречаются с 2019 года. Основные различия заключаются в теме документа-приманки и названии вредоносного инсталлятора. В 2023 году файлы часто содержали фразу «1C.Предприятие Платежная накладная». В 2024 году используются разнообразные названия, связанные с техническими и аналитическими документами, например «Проект ТТТ 26.2024-2.scr», «пневмокатапульта с самолетом.step.scr», «аналитическая справка.pdf.scr».
В ходе этой атаки вредоносные архивы загружались с ресурса accouts-verification[.]ru, а данные жертв отправлялись на сервер hostingforme[.]nl. Ранее для этих целей использовался сайт detectis[.]ru.
