Обнаружена новая вредоносная кампания против электроэнергетического сектора

Обнаружена новая вредоносная кампания против электроэнергетического сектора

Злоумышленники рассылают сотрудникам предприятий фишинговые письма с целью заразить системы трояном Adwind.

image

Исследователи компании Cofense обнаружили новую вредоносную кампанию, нацеленную на предприятия электроэнергетической промышленности. С помощью фишинговых писем злоумышленники пытаются заразить компьютерные сети компаний трояном для удаленного доступа (RAT) Adwind.

Создатели Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat) предлагают его своим клиентам по схеме «вредоносное ПО как услуга» (malware-as-a-service, MaaS). Вредонос отличается впечатляющим функционалом – он способен похищать конфиденциальные данные (цифровые сертификаты и учетные данные пользователей Chrome, IE и Edge), регистрировать нажатия клавиш на клавиатуре, записывать аудио и видео, делать фотоснимки с помощью web-камеры скомпрометированного устройства, майнить криптовалюту и похищать криптовалютные кошельки.

В данной конкретной кампании злоумышленники рассылают фишинговые письма исключительно сотрудникам предприятий электроэнергетической промышленности, успешно обходя спам-фильтры. Письма рассылаются со взломанной электронной почты компании Friary Shoes, при этом ее серверы используются для хранения и доставки Adwind на компьютеры жертв.

Фишинговые письма содержат вложение, внешне похожее на PDF-документ, но на самом деле являющееся jpg-файлом со встроенной гиперссылкой. Когда жертва нажимает на вложение, то переходит по вредоносной URL-ссылке, откуда на ее систему загружается первоначальная полезная нагрузка (JAR-файл Scan050819.pdf_obf.jar).

Загрузившись на компьютер, Adwind подключается к C&C-серверу и добавляет все зависимости и собранные данные в папку C:\Users\Byte\AppData\Local\Temp\. На втором этапе заражения вредонос находит и отключает известное аналитическое и антивирусное ПО с помощью легитимной утилиты taskkill от Microsoft.

Positive Technologies проводит опрос по APT атакам. Предлагаем вам анонимно ответить на несколько вопросов: https://surveys.hotjar.com/s?siteId=1095096&surveyId=139755 .

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle