Обычное служебное письмо запускает цепочку, которую трудно заметить вовремя.
Чем привычнее выглядит вложение, тем легче спрятать за ним сложную атаку. Как сообщает Касперский, группа Armored Likho начала рассылать новый стилер BusySnake Stealer сотрудникам государственных организаций и энергетических компаний в России, Казахстане и Бразилии. Вредонос на Python раньше не описывали, а первые загрузчики злоумышленники создавали с помощью языковых моделей.
Атака начинается с адресных писем под видом официальных уведомлений, психологических тестов или заявок на гуманитарную помощь. В архиве находится исполняемый файл либо ярлык LNK. После запуска жертва видит отвлекающий документ или анкету, пока загрузчик скачивает Python, необходимые библиотеки и основной модуль BusySnake Stealer. Затем вредонос закрепляется в Windows через запланированную задачу и запускается каждые пять минут.
BusySnake собирает содержимое буфера обмена, документы, снимки экрана, пароли и файлы cookie из браузеров. По команде управляющего сервера вредонос ищет ключи двухфакторной аутентификации, файлы криптокошельков и данные сеансов Telegram, а также создаёт обратный SSH-туннель для удалённого доступа к заражённому компьютеру.
В новой версии разработчики усложнили закрепление в системе и добавили запуск произвольных Python-скриптов прямо в памяти, без сохранения на диск. Такой подход затрудняет анализ и позволяет быстро менять набор функций под конкретную цель.
Касперский связывает кампанию с Armored Likho со средней уверенностью. Основанием стали сходства с прежними инструментами группы, включая структуру команд, способы закрепления и механизм обратных SSH-туннелей. Кампания остаётся активной, подтверждённые цели находятся в государственном секторе и электроэнергетике.