Эксперты из «Лаборатории Касперского» выявили целевые кибератаки на российские компании, специализирующиеся на продаже и техническом сопровождении программного обеспечения для автоматизации бизнеса.
Злоумышленники применяли как новый бэкдор под названием BrockenDoor, так и широко известные вредоносные программы Remcos и DarkGate, что позволяло им удалённо получать доступ к устройствам жертв и похищать конфиденциальные данные.
Атаки в основном начинались с фишинговых рассылок. Злоумышленники отправляли письма, маскируясь под известные компании, предлагающие решения в области автоматизации бизнеса. Получателями становились организации, занимающиеся внедрением таких систем, их настройкой и консультированием. В письме содержалась просьба ознакомиться с техническим заданием, прикреплённым в виде архива.
Существовало два основных сценария заражения. В одном из вариантов в архиве находился всего лишь один исполняемый файл, который использовал технику Right-to-Left Override (RLO). Этот непечатный символ кодировки Unicode позволяет обманывать пользователей, скрывая реальное название и расширение файлов. В другом варианте атака включала карточку предприятия, документ в формате PDF и ярлык (LNK-файл). Если жертва открывала вредоносный ярлык, запускался механизм заражения.
В ходе атак были использованы разные виды бэкдоров, включая троянец удалённого доступа Remcos, загрузчик DarkGate и новый злонамеренный софт BrockenDoor. Это позволяло им контролировать заражённые устройства и проводить кражу данных.
BrockenDoor связывался с сервером злоумышленников, отправляя информацию, такую как имя пользователя и компьютера, версия операционной системы, а также список файлов на рабочем столе. Если данные вызывали интерес, злоумышленники отправляли команды для дальнейших атак. Новый зловред получил название Брокенский призрак, что связано с оптическим явлением в горах и с именами, использованными злоумышленниками: Sun (Солнце), Gh0st (призрак) и Silhouette (силуэт).
Злоумышленники применяли как новый бэкдор под названием BrockenDoor, так и широко известные вредоносные программы Remcos и DarkGate, что позволяло им удалённо получать доступ к устройствам жертв и похищать конфиденциальные данные.
Атаки в основном начинались с фишинговых рассылок. Злоумышленники отправляли письма, маскируясь под известные компании, предлагающие решения в области автоматизации бизнеса. Получателями становились организации, занимающиеся внедрением таких систем, их настройкой и консультированием. В письме содержалась просьба ознакомиться с техническим заданием, прикреплённым в виде архива.
Существовало два основных сценария заражения. В одном из вариантов в архиве находился всего лишь один исполняемый файл, который использовал технику Right-to-Left Override (RLO). Этот непечатный символ кодировки Unicode позволяет обманывать пользователей, скрывая реальное название и расширение файлов. В другом варианте атака включала карточку предприятия, документ в формате PDF и ярлык (LNK-файл). Если жертва открывала вредоносный ярлык, запускался механизм заражения.
В ходе атак были использованы разные виды бэкдоров, включая троянец удалённого доступа Remcos, загрузчик DarkGate и новый злонамеренный софт BrockenDoor. Это позволяло им контролировать заражённые устройства и проводить кражу данных.
BrockenDoor связывался с сервером злоумышленников, отправляя информацию, такую как имя пользователя и компьютера, версия операционной системы, а также список файлов на рабочем столе. Если данные вызывали интерес, злоумышленники отправляли команды для дальнейших атак. Новый зловред получил название Брокенский призрак, что связано с оптическим явлением в горах и с именами, использованными злоумышленниками: Sun (Солнце), Gh0st (призрак) и Silhouette (силуэт).