На сайте российской энергетической компании нашли новый червь CMoon

Екатерина Быстрова 08 Августа 2024 - 09:47

Корпорации

Государство

Лаборатория Касперского

Сетевые черви

Целевые атаки

Таргетированные атаки

...

На сайте российской энергетической компании нашли новый червь CMoon

CMoon — новый сетевой червь, который специалисты «Лаборатории Касперского» поймали на сайте одной из российских энергетических компаний. Вредонос может извлекать конфиденциальные данные жертвы и запускать DDoS-атаки.

Как пишет Kaspersky, атакующие взяли в оборот несколько разделов целевого ресурса, подменив в них ссылки на скачивание нормативных документов. В результате посетители получали URL на загрузку вредоносных исполняемых файлов.

Помимо механизма распространения на другие устройства в сети, CMoon располагает возможностью вытаскивать конфиденциальные и платёжные данные жертвы и запускать DDoS-атаки на сайты.

Специалисты считают, что атака могла быть нацелена на подрядчиков и партнёров организации. Как только экспертам «Лаборатории Касперского» удалось идентифицировать червя, они связались с владельцем заражённого ресурса и предупредили о вредоносных ссылках.

Всего таких URL нашлось около двух десятков. Если пользователь переходил по ним, на компьютер скачивался самораспаковывающийся архив, в котором лежал сам документ и исполняемый файл. Последний и является CMoon, получивший своё имя из-за строк в коде.

Попав в систему, червь собирал файлы из директорий Desktop, Documents, Photos, Downloads, а также внешних носителей, после чего мог передать всё это операторам.

В Kaspersky нашли признаки целевой атаки: вредонос искал документы со подстроками «секрет», «служебн» и «парол». Кроме того, CMoon пытался копаться в данных, которые пользователи хранили в браузерах, и снимал скриншоты.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 25 Сентября 2024 - 09:31

Трояны Домашние пользователи

Инфостилеры научились обходить новую защиту cookies в Google Chrome

Разработчики ряда инфостилеров выпустили обновления, которые позволяют вредоносам обходить недавно представленную в Google Chrome защитную функциональность App-Bound Encryption.

App-Bound Encryption, появившаяся в Chrome 127, должна прятать конфиденциальную информацию, включая файлы cookies, от посторонних.

Как можно понять из названия, этот механизм должен шифровать «печеньки» и сохранённые пароли, используя службу Windows, работающую с правами SYSTEM.

Таким образом, работая на уровне пользователя, инфостилеры и другие вредоносные программы не могли добраться до cookies и паролей жертвы.

Для обхода защитного слоя троянам надо было либо заполучить привилегии SYSTEM, либо внедрить код в Chrome. Как отметил Уилл Харрис из команды безопасности Chrome, оба эти вектора должны непременно спровоцировать алерты защитных продуктов.

Однако исследователи в области безопасности g0njxa и RussianPanda9xx наткнулись на сообщения разработчиков инфостилеров, которые хвастались, что их детища способны обходить новую меру безопасности.

Среди таких были замечены авторы MeduzaStealer, Whitesnake, Lumma Stealer, Lumar (PovertyStealer), Vidar Stealer, StealC.