БРАТИСЛАВА, МОНРЕАЛЬ – Компания ESET Research недавно обнаружила новую и все еще активную кампанию, в которой используются более продвинутые версии старого криминального бандбука для слежки за своими жертвами. Текущая кампания нацелена на корпоративные сети в испаноязычных странах, при этом 90% обнаружений телеметрии ESET приходится на Венесуэлу. Исследователи ESET обнаружили новые функциональные возможности и изменения в Bandook. Из-за используемого вредоносного ПО и целевого языка ESET решила назвать эту кампанию Bandidos.
В 2021 году ESET обнаружила более 200 обнаружений вредоносных программ-капельниц в Венесуэле; однако определить конкретную вертикаль, на которую нацелена эта вредоносная кампания, не удалось. Согласно данным телеметрии, основными интересами злоумышленников являются корпоративные сети в Венесуэле: одни в производственных компаниях, а другие в строительстве, здравоохранении, программных услугах и даже розничной торговле. Учитывая возможности вредоносного ПО и вид удаляемой информации, похоже, что основной целью Bandidos является шпионаж.
Потенциальные жертвы получают вредоносные электронные письма с вложением в формате PDF. Файл PDF содержит ссылку для загрузки сжатого архива и пароль для его извлечения. Внутри архива находится исполняемый файл: капельница, которая вводит Bandook в процесс Internet Explorer. Злоумышленники используют сокращители URL-адресов, такие как Rebrandly или Bitly, в своих вложениях в PDF. Сокращенные URL-адреса перенаправляют на облачные службы хранения, такие как Google Cloud Storage, SpiderOak или pCloud, откуда загружается вредоносное ПО. Основная цель капельницы-расшифровать, расшифровать и запустить полезную нагрузку, а также убедиться, что вредоносное ПО сохраняется в скомпрометированной системе.
“Особенно интересна функциональность ChromeInject”, - говорит Фернандо Тавелла, исследователь ESET, который исследовал кампанию Bandidos. “Когда связь с сервером управления и управления злоумышленника установлена, полезная нагрузка загружает DLL-файл, который имеет экспортированный метод, создающий вредоносное расширение Chrome. Вредоносное расширение пытается получить любые учетные данные, которые жертва отправляет по URL-адресу. Эти учетные данные хранятся в локальном хранилище Chrome”.
Bandook-это старый троян для удаленного доступа. Есть ссылки на то, что он был доступен в Интернете еще в 2005 году, хотя его использование организованными группами не было задокументировано до 2016 года. В 2016 году, как сообщается, он использовался для нападения на журналистов и диссидентов в Европе. Затем, в 2018 году, он был использован для атаки на новые цели, такие как учебные заведения, юристы и медицинские работники. Наконец, в 2020 году это было замечено в атаках на несколько секторов, включая правительство, финансы, ИТ и энергетику.
“В предыдущих отчетах упоминалось, что разработчики Bandook могут быть разработчиками по найму, что имеет смысл, учитывая различные кампании с различными целями, которые наблюдались на протяжении многих лет. Однако мы должны отметить, что в 2021 году мы видели только одну активную кампанию: кампанию, нацеленную на испаноязычные страны, которую мы здесь документируем. Это показывает, однако, что он по-прежнему является актуальным инструментом для киберпреступников”, - считает Матиас Поролли, исследователь ESET, который работал над анализом с Тавеллой.
Для получения более подробной технической информации о Bandidos читайте в блоге “Бандидос на свободе: шпионская кампания в Латинской Америке” на сайте WeLiveSecurity. Обязательно следите за исследованиями ESET в Twitter, чтобы получать последние новости от ESET Research.
Компания «Доктор Веб» сообщает о распространении многофункционального бэкдора Android.Backdoor.916.origin для мобильных Android-устройств, который атакует представителей российского бизнеса
«Базальт СПО» выпустила операционную систему «Альт Образование» 11.0. Среди ключевых изменений — приложение «Альт Центр» для настройки и просмотра информации о системе, использование рабочего окружения KDE Plasma 6 по умолчанию и обновленные приложения
На фоне растущих угроз большинство МСП в России до сих пор не подходят к вопросам информационной безопасности системно: в большинстве компаний вопросы ИБ решаются по остаточному принципу, у 13 % вообще нет ответственных, а 16 % не применяют никаких технических решений для обеспечения кибербезопасности. Такие данные представлены в исследовании ИТ-компании «Киберпротект» и платформы по поиску работы «Работа.ру»
«Лаборатория Касперского» и MWS AI (входит в МТС Web Services) проанализировали, как меняется восприятие нейросетей среди пользователей и к каким последствиям это может привести с точки зрения кибербезопасности
В топ-3 по популярности входят Telegram, VK и Авито.
«Р7-Офис» представляет собой значительно более мощный инструмент для организаций разного масштаба
Мошенники активно эксплуатируют доверчивость пользователей, уязвимости дешевых устройств и анонимность криптовалют. Осведомленность и базовые меры безопасности помогут избежать потерь
В ходе кампании сотрудники компаний получают фишинговые письма, маскирующиеся под официальные рассылки государственных министерств.
XXI век – эпоха цифровизации. Практически все сферы жизни, от личного общения до государственных операций, перешли в онлайн. Но вместе с удобствами появились и новые угрозы: кибератаки, утечки данных, финансовые махинации
Ваши контактные данные не публикуются на сайте.