Жертвами «государственных» хакеров из группировки Rocket Kitten становятся организации в Израиле и Европе.
Эксперты из Trend Micro сообщили о новой вредоносной кампании Woolen-GoldFish против израильских и европейских организаций, проводимой «государственными» хакерами из группировки Rocket Kitten.
По сравнению с предыдущими атаками, в ходе которых злоумышленники распространяли вредоносное ПО GHOLE с помощью вложений Office в фишинговых электронных письмах, нынешняя кампания - гораздо более продумана.
Во-первых, фишинговые письма теперь убедительнее и вызывают меньше подозрений. Во-вторых, вместо вредоносного вложения злоумышленники стали использовать ссылку на файл в Microsoft OneDrive с именем Iran’s Missiles Program.ppt.exe. По словам экспертов, подобная тактика позволяет обойти систему безопасности электронной почты. Исполняемый файл загружает на систему жертвы вариант клавиатурного шпиона CWoolger, «не настолько сложного, как его современники», сообщают эксперты.
В Trend Micro предполагают, что автор кейлоггера, называющий себя Wool3n.H4t, связан с Ираном. Исследователи обнаружили, что пользователю с этим псевдонимом принадлежит неактивный блог в бесплатном иранском сервисе. Кроме того, Wool3n.H4t оказался зарегистрированным на нескольких иранских подпольных хакерских форумах. В блоге опубликованы всего две записи, подписанные Masoud_pk. Эксперты предполагают, что Масуд (одно из 50 наиболее распространенных в Иране имен) может быть настоящим именем разработчика CWoolger.
Одно найти легче, чем другое. Спойлер: это не темная материя