Вымогатели атаковали канадские медучреждения во время пандемии

Команда специалистов Unit 42 компании Palo Alto Networks сообщила о новых кибератаках вымогателей, направленных на медицинские учреждения и организации во время пандемии коронавирусной инфекции (COVID-19).

Как сообщили эксперты, одними из жертв вымогателей стала канадская правительственная организация здравоохранения и канадский медицинский исследовательский университет. Атаки были зафиксированы в период с 24 по 26 марта и были инициированы в рамках фишинговых кампаний на тему коронавируса.

По словам исследователей, кампания началась с отправки вредоносных электронных писем с поддельного адреса, замаскированного под официальный адрес Всемирной организации здравоохранения. Преступники отправили письма ряду лиц, связанных с организацией здравоохранения и активно участвующих в борьбе с COVID-19.

Письма содержали документ формата RTF, который при открытии пытался загрузить вымогательское ПО на базе проекта с открытым исходным кодом EDA2, эксплуатируя уязвимость переполнения буфера ( CVE-2012-0158 ) в элементах управления Microsoft ListView/TreeView ActiveX в библиотеке MSCOMCTL.OCX.

После выполнения двоичный файл вымогателя связывался с C&C-сервером для загрузки изображения, служащего основным уведомлением о заражении вымогателем, на устройство жертвы, а затем передавал сведения о хосте, чтобы создать кастомный ключ для шифрования файлов системы.