Сайт правительства Пакистана заражен вредоносным ПО

Сайт правительства Пакистана заражен вредоносным ПО

Вредоносное ПО собирает данные пользователей, проверяющих статус своего заявления на получение пакистанского гражданства.

image

Неизвестные скомпрометировали правительственный сайт Пакистана и заразили его кейлоггером и другим вредоносным ПО для сбора данных пользователей, проверяющих статус своего заявления на получение пакистанского гражданства. Специалисты компании Trustwave выявили на сайте gdip.gov.pk JavaScript-фреймворк Scanbox. Взлом был обнаружен, когда исследователи заметили нечто необычное в данных телеметрии.

Кейлоггер собирал учетные данные посетителей скомпрометированного ресурса, а Scanbox –отпечатки браузера и данные об установленных на компьютере программах. Фреймворк записывал IP-адреса, сведения о типе используемой ОС и установленных плагинах, сайты, с которых пользователи переходили на скомпрометированный ресурс и строки user-agent. Кроме того, Scanbox сканировал систему на наличие одного или нескольких продуктов из списка 77 самых распространенных антивирусных пакетов и отправлял результаты поиска на свои C&C-серверы.

Scanbox уже известен ИБ-сообществу – о фреймворке ранее сообщали специалисты FireEye, назвавшие его инструментом из арсенала APT-групп. В частности он использовался китайскими кибершпионами из APT 10 в рамах кампании Operation TradeSecret, направленной против членов Национального совета США по внешней торговле.

Исследователи сообщили администрации скомпрометированного ресурса о взломе, но так и не получили никакого ответа, и сайт по-прежнему остается зараженным.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.