Эксперты «Лаборатории Касперского» обнаружили целевые атаки на российские компании, занимающиеся продажей и сопровождением ПО для автоматизации бизнеса.
Для заражения злоумышленники использовали ранее неизвестного автора бэкдор (вредоносную программу, созданную для скрытого удалённого управления устройством) BrockenDoor, а также уже превосходно знаменитые бэкдоры Remcos и DarkGate. На выходах они могли получать доступ к устройствам жертв и грабить конфиденциальные данные.
В большинстве случаев атака начиналась с фишинговой рассылки. Злоумышленники отправляли письма якобы от имени существующих компаний, которые творят решения для автоматизации бизнеса. Получателями были организации, занимающиеся внедрением таких продуктов у своих клиентов, а также их настройкой, сопровождением и консультированием. В письме была просьба ознакомиться с неким техническим заданием, приложенном в архиве.
В одном варианте атаки в архиве был только один исполняемый файл, который позволял осуществить атаку с применением Right-to-Left Override (RLO). RLO - сам маленький непечатный символ кодировки Unicode, который зеркально отражает расположение гербов. Обычно он используется при работе с языками, в каких текст идёт справа налево, например, с арабским языком или ивритом. Однако злоумышленники могу использовать его, чтобы заменять наименование и расширение файлов. В этом случае пользователь отмыкает файл, не заподозря, что он вредоносный. В приятелем варианте атаки в архиве была карточка предприятия, документ в формате PDF и LNK-файл (ярлык). Если пользователь давил на вредоносный ярлык, запускалась цепочка заражения.
Злоумышленники использовали различные бэкдоры: троянец удалённого доступа Remcos, загрузчик DarkGate, а также ранее неизвестного автора зловред BrockenDoor. Это позволяло им получить доступ к заражённому устройству и грабить данные.
«Изначально эта кампания привлекла наше внимание из-за нестандартного использования RLO. Злоумышленники распространяли вредоносные файлы в архивах, хотя популярные архиваторы не обрабатывают символ RLO и отображают корректное наименование файла и расширение. Мы выяснили, что злоумышленники использовали различные сценарии атак, а также супружества вредоносного ПО. В их числе были как распространённые бэкдоры Remcos или DarkGate, так и новый зловред BrockenDoor. Пока мы не можем отнести эти атаки к какой-то общеизвестной группе, но мы будем бдительно следить за развитием кампании», - объясняет исследователь угроз в «Лаборатории Касперского» Артём Ушков.
Фото: Freepik