Шахраї надсилають зловмисне ПЗ під виглядом повідомлень від «Червоного Хреста»

Дослідники з кібербезпеки з компанії NSFOCUS Security Labs виявили нову загрозу, яку назвали AtlasCross. Зловмисники надсилають своїм жертвам повідомлення нібито він імені «Червоного Хреста» та розгортають трояни, які викрадають дані та запускають шкідливий код. Про це повідомили в The Hacker News.

Попри те, що вектор зараження називають застарілим, фахівці зазначають, що в цієї загрози високий технічний рівень. Схему складно назвати новою чи бодай свіжою. Зловмисники видають себе за некомерційну організацію та поширюють документ Word із вбудованою функцією макросу. У ситуації із «Червоним Хрестом» у ньому міститься нібито інформація про донорство крові.

Запуск макросу ініціює завантаження трояна під назвою DangerAds. Це зловмисне програмне завантаження для виявлення хост-оточення. Воно запускає шелл-код, що забезпечує завантаження остаточного корисного навантаження AtlasAgent. Воно потрапляє всередину домену та збирає інформацію про нього.

Цікаво, що дослідники досі не визначили, кого саме та з якою метою переслідують шахраї. Проте вони не виключають, що розповсюдження AtlasAgent – це спрямований удар на конкретні цілі.

«Зараз AtlasCross має відносно обмежений обсяг діяльності та зосереджується на цілеспрямованих атаках на конкретні хости в межах мережевого домену. Однак процеси атаки, які вони використовують, доволі надійні», – йдеться у звіті NSFOCUS Security Labs.

• Атаки AtlasCross – це різновид розповсюдженого останнім часом фішингового шахрайства. Що це та як вберегтися від нього, ми детально розповідали тут.
• До речі, стати жертвою фішингової атаки можна не тільки після отримання повідомлення або електронного листа. Ми розповідали про криптотрейдера, який втратив $900 тис. через фальшиву рекламу в Google.