БРАТИСЛАВА, МОНРЕАЛЬ – Компания ESET Research недавно обнаружила новую и все еще активную кампанию, в которой используются более продвинутые версии старого криминального бандбука для слежки за своими жертвами. Текущая кампания нацелена на корпоративные сети в испаноязычных странах, при этом 90% обнаружений телеметрии ESET приходится на Венесуэлу. Исследователи ESET обнаружили новые функциональные возможности и изменения в Bandook. Из-за используемого вредоносного ПО и целевого языка ESET решила назвать эту кампанию Bandidos.
В 2021 году ESET обнаружила более 200 обнаружений вредоносных программ-капельниц в Венесуэле; однако определить конкретную вертикаль, на которую нацелена эта вредоносная кампания, не удалось. Согласно данным телеметрии, основными интересами злоумышленников являются корпоративные сети в Венесуэле: одни в производственных компаниях, а другие в строительстве, здравоохранении, программных услугах и даже розничной торговле. Учитывая возможности вредоносного ПО и вид удаляемой информации, похоже, что основной целью Bandidos является шпионаж.
Потенциальные жертвы получают вредоносные электронные письма с вложением в формате PDF. Файл PDF содержит ссылку для загрузки сжатого архива и пароль для его извлечения. Внутри архива находится исполняемый файл: капельница, которая вводит Bandook в процесс Internet Explorer. Злоумышленники используют сокращители URL-адресов, такие как Rebrandly или Bitly, в своих вложениях в PDF. Сокращенные URL-адреса перенаправляют на облачные службы хранения, такие как Google Cloud Storage, SpiderOak или pCloud, откуда загружается вредоносное ПО. Основная цель капельницы-расшифровать, расшифровать и запустить полезную нагрузку, а также убедиться, что вредоносное ПО сохраняется в скомпрометированной системе.
“Особенно интересна функциональность ChromeInject”, - говорит Фернандо Тавелла, исследователь ESET, который исследовал кампанию Bandidos. “Когда связь с сервером управления и управления злоумышленника установлена, полезная нагрузка загружает DLL-файл, который имеет экспортированный метод, создающий вредоносное расширение Chrome. Вредоносное расширение пытается получить любые учетные данные, которые жертва отправляет по URL-адресу. Эти учетные данные хранятся в локальном хранилище Chrome”.
Bandook-это старый троян для удаленного доступа. Есть ссылки на то, что он был доступен в Интернете еще в 2005 году, хотя его использование организованными группами не было задокументировано до 2016 года. В 2016 году, как сообщается, он использовался для нападения на журналистов и диссидентов в Европе. Затем, в 2018 году, он был использован для атаки на новые цели, такие как учебные заведения, юристы и медицинские работники. Наконец, в 2020 году это было замечено в атаках на несколько секторов, включая правительство, финансы, ИТ и энергетику.
“В предыдущих отчетах упоминалось, что разработчики Bandook могут быть разработчиками по найму, что имеет смысл, учитывая различные кампании с различными целями, которые наблюдались на протяжении многих лет. Однако мы должны отметить, что в 2021 году мы видели только одну активную кампанию: кампанию, нацеленную на испаноязычные страны, которую мы здесь документируем. Это показывает, однако, что он по-прежнему является актуальным инструментом для киберпреступников”, - считает Матиас Поролли, исследователь ESET, который работал над анализом с Тавеллой.
Для получения более подробной технической информации о Bandidos читайте в блоге “Бандидос на свободе: шпионская кампания в Латинской Америке” на сайте WeLiveSecurity. Обязательно следите за исследованиями ESET в Twitter, чтобы получать последние новости от ESET Research.
«Р7-Офис» представляет собой значительно более мощный инструмент для организаций разного масштаба
Мошенники активно эксплуатируют доверчивость пользователей, уязвимости дешевых устройств и анонимность криптовалют. Осведомленность и базовые меры безопасности помогут избежать потерь
В ходе кампании сотрудники компаний получают фишинговые письма, маскирующиеся под официальные рассылки государственных министерств.
XXI век – эпоха цифровизации. Практически все сферы жизни, от личного общения до государственных операций, перешли в онлайн. Но вместе с удобствами появились и новые угрозы: кибератаки, утечки данных, финансовые махинации
МойОфис представил масштабное обновление версии 3.3 для настольных, мобильных и веб-редакторов документов. В новом релизе значительно расширены возможности анализа данных: улучшена работа со сводными таблицами, внедрены функции фильтрации и сортировки, а также создания и настройки диаграмм. Эти обновления повышают эффективность работы с данными в продуктах МойОфис и помогают пользователям принимать обоснованные решения
Компания «Увеон – облачные технологии» (входит в «Группу Астра») представила контроллер доставки приложений Termidesk Connect — решение для балансировки нагрузки, повышения отказоустойчивости и масштабирования ИТ-сервисов. Продукт полностью заменяет зарубежные аналоги, такие как Citrix и F5 и располагает современными инструментами для управления высоконагруженными инфраструктурами даже при стремительном росте числа пользователей.
Эксперты компании «Киберпротект» и деловой социальной сети TenChat провели исследование среди пользователей, посвящённое безопасности пожилых людей в интернете. Аналитики выяснили, как часто люди в возрасте 60+ лет сталкиваются с онлайн- угрозами, как они и их родственники противодействуют им, а также, какие риски наиболее актуальны для них
Итоги работы Content AI в 2024 году: финансовый рост, важные проекты, интенсивная разработка продуктов, плодотворная работа с партнерами и изменения в структуре собственности компании.Генеральный директор Content AI Светлана Дергачева поделилась наиболее значимыми событиями прошедшего года и планами на 2025 год, рассказала о трендах, влиянии ИИ на отрасль и о дальнейшем его применении во флагманских продуктах компании
Вирусные аналитики «Доктор Веб» предупреждают о появлении новых версий банковского трояна NGate, нацеленных на российских пользователей. Этот троян передает данные с NFC-чипа скомпрометированного устройства, позволяя злоумышленнику снимать деньги со счетов жертвы в банкоматах без какого-либо участия с её стороны
Ваши контактные данные не публикуются на сайте.