Symantec: Хакеры из группировки Flea нацелены на участников съезда стран G20

Компания Symantec предупреждает, что очередной съезд стран G20, который в этом году пройдет в Брисбейне, Австралия, станет поводом для активизации киберпреступной группировки Flea. Как сообщают специалисты компании в блоге Symantec Security Response, хакеры попытаются похитить конфиденциальную информацию участников саммита с помощью нацеленного фишинга.

Группировка Flea действует с 2010 года. Первым зарегистрированным случаем их активности стал тогдашний саммит G20 в Корее, когда хакеры разослали участникам съезда зараженные трояном Infostealer.Hoardy документы. Вредонос обладает функциональностью бэкдора, способен передавать файлы с зараженного ПК, а также выполнять команды, полученные с C&C-сервера. Киберпреступники до сих пор используют эту версию трояна для инфицирования устройств жертв.

Задача киберпреступников - похитить конфиденциальную информацию участников саммита. Для этого они прибегают к технологии целевого фишинга. На электронную почту жертв приходит письмо с вредоносными вложениями. Темы сообщений разнятся от ядерной политики, Олимпиады и крупных политических событий до приема на работу. Как только вредоносное ПО попадает на компьютер жертвы, оно находит содержащуюся на нем конфиденциальную информацию и пересылает на серверы злоумышленников.

Преступники проявили активность за несколько недель до начала саммита, рассылая жертвам несколько видов сообщений с вредоносными вложениями. Одно из таких писем называлось "В чем смысл саммита G20 в Австралии?" и содержало документ MS Word, пытающийся проэксплуатировать одну из уязвимостей в ActiveX, обнаруженную еще в 2012 году.