Фишеры атакуют российские компании размещённым на GitHub инфостилером

BI.ZONE раскрыла операцию киберпреступников, атакующих российские компании из различных отраслей. Задача злоумышленников — установить инфостилер Umbral в системы потенциальных жертв.

Umbral предназначен для сбора учётных данных пользователей на скомпрометированных устройствах. Интересно что исходные коды этого зловреда можно найти в открытом доступе на платформе GitHub.

Umbral подсовывается жертвам с помощью фишинговых атак с вложениями в виде ISO-файлов. Злоумышленники маскируют их под документы с названием «План Рейдеров». Если сотрудник запустит такой файл, на устройство почти гарантированно попадёт вредонос.

«Умбрал» обходит защитные системы и собирает аутентификационные данные из следующих приложений: Brave, Chrome, Chromium, Comodo, Edge, Epic Privacy, Iridium, Opera, Opera GX, Slimjet, UR Browser, Vivaldi, «Яндекс Браузер», Roblox, Minecraft и Discord.

Добытая информация выгружается через инфраструктуру мессенджера Discord. Получив первоначальный доступ к целевой сети, атакующие могут использовать корпоративную почту для фишинговых рассылок или извлечь из внутренних переписок конфиденциальные данные.

Для снижения риска подобных атак крайне важно обеспечить надёжную защиту электронной почты, поскольку фишеры используют именно этот канал для распространения инфостилеров вроде Umbral и других вредоносных программ.