Август в ноябре: August крадет данные и обходит обнаружение

Исследователи компании Proofpoint сообщили о новом семействе вредоносного ПО August, предназначенном для похищения информации с зараженных компьютеров. Вредоносная кампания была зафиксирована в прошлом месяце.

Злоумышленники распространяют August с помощью целенаправленного фишинга, а их жертвами становятся сотрудники торговых предприятий, занимающиеся связями с клиентами. Такой же тактики придерживается известная киберпреступная группировка Carbanak.

По словам экспертов, распространением August занимается уже давно существующая группа опытных преступников под кодовым названием TA530. Деятельность организации заметно активизировалась за последний год. Злоумышленники рассылали фишинговые письма руководителям различных компаний, используя данные с LinkedIn и других сайтов.

Как пояснили в Proofpoint, August представляет собой обыкновенную программу для похищения данных, однако она интересна тем, что является совершенно новой. С целью обмануть сотрудников отделов по работе с клиентами преступники маскируют электронные письма под жалобы. В некоторых случаях в теме письма указывались проблемы с заказом. Получив жалобу от клиента на проблемы с заказом, сотрудник отдела поддержки обязан изучить случай и вынужден открыть вложение.

Во всех случаях вложение представляет собой документ Word с вредоносным макросом. Когда жертва дает разрешение на выполнение скрипта, выполняется скрипт PowerShell, загружающий вредоносное ПО непосредственно в память компьютера без сохранения чего-либо на жестком диске. Несмотря на примитивность, August использует сложные техники обхода обнаружения. К примеру, вредонос способен определять, запустился ли он на реальном компьютере, или на виртуальной машине.