Компания ISSP, специализирующаяся на кибербезопасности, сообщила о новой волне кибератак в Украине. Злоумышленники используют официальный сайт компании по разработке комплекса бухгалтерского учета Crystal Finance Millennium, чтобы распространить вредоносный файл. Об этом говорится в заявлении ISSP.
Атака представляет из себя рассылку писем. В письме находится образец с названием «док.zip» — это текстовый файл со скриптом на языке JavaScript. При открытии образца срабатывает скрипт, задача которого — скачать и запустить вредоносный файл.
По словам Алексея Ясинского, руководителя ISSP Labs, вредоносный файл собирает информацию о компьютере жертвы и отправляет ее на командные центры злоумышленников. «Параллельно с этим данный файл ждет инструкций от злоумышленников и ожидает установку дополнительных модулей, которые превратят компьютер жертвы в желаемый для хакеров ресурс», — утверждает специалист по киберзащите.
Он добавляет, что дополнительные модули могуть быть бэкдором, через который злоумышленники могут проникать в инфраструктуру, минуя средства защиты, кейлогером, который будет собирать информацию о нажатых клавишах и отправлять ее командным центрам, сканнером, который будет собирать информацию о захватываемой инфраструктуре, и так далее.
Примечательно, что вредоносный файл загружается с адреса «http[:]//cfm.com[.]ua/awstats/load.exe». Согласно публичной информации, «cfm.com.ua» — сайт программного комплекса бухгалтерского учета «Crystal Finance Millennium». «Вероятно, злоумышленники использовали уязвимости сайта для размещения там вредоносных файлов», — говорится в заявлении ISSP.
Также компания предполагает, что эта рассылка может свидетельствовать о подготовке к масштабной кибератаке перед государственными праздниками.
Напомним, в конце июня по Украине прокатилась мощная волна кибератак, которая заразила компьютеры сотни компаний.
Источник: ain.ua