Мошенники рассылают злонамеренное ПО под видом сообщений от «Красного Креста»

Исследователи по кибербезопасности компании NSFOCUS Security Labs обнаружили новую угрозу, которую назвали AtlasCross. Злоумышленники рассылают своим жертвам сообщения якобы имени «Красного Креста» и разворачивают троянs, которые похищают данные и запускают вредоносный код. Об этом сообщили в The Hacker News.

E-mail Popup Warning Window Concept

Несмотря на то, что вектор заражения называют устаревшим, специалисты отмечают, что у этой угрозы высокий технический уровень. Схему сложно назвать новой или хотя бы свежей. Злоумышленники выдают себя за некоммерческую организацию и распространяют документ Word со встроенной функцией макроса. В ситуации с «Красным Крестом» в нем содержится якобы информация о донорстве крови.

Запуск макроса инициирует загрузку трояна под названием DangerAds. Это вредоносная программная загрузка для обнаружения хост-окружения. Оно запускает шелл-код, обеспечивающий загрузку окончательной полезной нагрузки AtlasAgent. Он попадает внутрь домена и собирает информацию о нем.

Интересно, что исследователи до сих пор не определили, кого именно и с какой целью преследуют мошенники. Однако они не исключают, что распространение AtlasAgent – ​​это направленный удар на конкретные цели.

«Сейчас AtlasCross имеет относительно ограниченный объем деятельности и сосредотачивается на целенаправленных атаках на конкретные хосты внутри сетевого домена. Однако процессы атаки, которые они используют, достаточно надежны», – говорится в отчете NSFOCUS Security Labs.

• Атаки AtlasCross – это разновидность распространенного в последнее время фишингового мошенничества. Что это и как уберечься от него, мы подробно рассказывали здесь.
• К слову, стать жертвой фишинговой атаки можно не только после получения сообщения или электронного письма. Мы рассказывали о криптотрейдере, потерявшем $900 тыс. из-за фальшивой рекламы в Google.