Эксперты выявили кампанию кибершпионажа против промышленных предприятий

«Лаборатория Касперского» обнаружила набор вредоносных модулей, предназначенный для кибератак на промышленные предприятия. Он использует техники, помогающие избежать детектирования.

Вредоносное ПО состоит из четырех модулей. Атака начинается с распространения загрузчика с помощью фишинга через самораспаковывающиеся архивы. Названия файлов в таких архивах могут быть связаны со списками контактов сотрудников, технической документацией или результатами медицинских анализов.

Задачей зловреда является поиск документов с заданными расширениями, в указанных директориях и на съемных носителях. Данная информация позволила выяснить, что операторов вируса интересуют документы Microsoft Office и Adobe Acrobat, говорят в пресс-службе «Лаборатории Касперского».

Помимо этого, модули могут снимать скриншоты рабочего стола, определять, интересна ли жертва операторам, анализируя ее сетевые и локальные настройки. Найденная информация шифруется и передается в публичные облачные сервисы, через них же происходит получение новых файлов.

Зловред также использует простой метод для закрепления в зараженной системе – панель быстрого запуска Windows Quick Launch. Пользователи, сами того не зная, запускают первичный модуль вредоносного ПО каждый раз, когда c помощью этой панели открывают различные приложения, например браузеры.

« Разработчики зловреда используют современные надежные криптографические стандарты и кастомизированную стеганографию. Уровень разработки не такой высокий, как у крупных APT-игроков, но авторы вложили много сил в создание этого набора инструментов и продолжают его развивать, поэтому мы предполагаем, что у них есть вполне определённые цели и данная кампания не является краткосрочной», – комментирует Денис Легезо, старший эксперт по кибербезопасности в «Лаборатории Касперского».