Новости Хакеры из Sticky Werewolf атакуют государственные организации России и Республики Беларусь

[Собака]

Группировка Sticky Werewolf получает доступ к системам государственных организаций России и Республики Беларусь с помощью фишинговых писем со ссылками на вредоносные файлы, сообщили Хабру в пресс-службе BI.ZONE. Для создания ссылок используется коммерческое вредоносное ПО IP Logger. Всего Sticky Werewolf с апреля этого года совершила не менее 30 атак.

Ссылки для фишинговых писем создаются через IP Logger, позволяющий собирать информацию о кликнувших пользователях: время перехода, IP-адрес, страну и город, версию браузера и ОС. Это помогает Sticky Werewolf сразу проводить базовое профилирование, отсеять системы, не представляющие интереса, и сосредоточиться на наиболее приоритетных. Благодаря IP Logger хакеры могут использовать собственные доменные имена при создании ссылок, что затрудняет распознавание фишинга, поскольку адрес не выглядит подозрительно.

«Ссылки в письмах ведут на вредоносные файлы с расширением.exe или.scr, замаскированные под документы Word или PDF. Открыв файл, жертва видит ожидаемый контент, например: экстренное предупреждение МЧС, исковое заявление или предписание об устранении нарушений. В это время в фоновом режиме на устройство устанавливается коммерческое вредоносное ПО NetWire RAT. Оно позволяет атакующим собирать информацию о скомпрометированной системе, получать данные о нажатиях клавиш, видео с экрана и веб‑камеры, записывать звук микрофона и осуществлять другие действия с целью шпионажа», — выяснили в киберразведке BI.ZONE.

NetWire копируется во временную папку на устройстве под видом легитимного приложения. Для затруднения обнаружения Sticky Werewolf дополнительно использует протектор Themida, обеспечивающий обфускацию.

Для просмотра ссылки необходимо нажать Вход или Регистрация