Злоумышленники использовали новый вредонос Grabit для кибератак на предприятия малого бизнеса

ИБ-исследователь «Лаборатории Касперского» Идо Ноар (Ido Noar) сообщил , что злоумышленники осуществили сотни кибератак на американские предприятия малого бизнеса. Атакующие похитили около 10 тысяч важных файлов у компаний в сфере нанотехнологий, образования и медиа, используя новый вид вредоносного ПО под названием Grabit.

Ноар заявил, что мошенническая кампания началась в конце февраля 2015 года и закончилась в середине марта. Вредоносное ПО начало распространяться по всему миру из Индии, США и Израиля. Вредонос использует несколько троянов удаленного доступа для отслеживания действий жертв. Одна из успешных реализаций злоумышленников содержала  известный  троян DarkComet.

Злоумышленники не скрывали свои C&C серверы и не прятались от локальной сети. Функционал обратной связи вредоносного ПО обеспечивал обмен данными с атакующим через очевидные каналы связи. Ноар обнаружил местоположение серверов, просто открыв вредоносный файл документа Grabit в редакторе. Файл не был запрограммирован на какие-либо манипуляции с реестром ОС, которые позволили бы скрыть его в Windows Explorer.