Российскую энергетику атакует цепкий шпионский троян Unicorn
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Российскую энергетику атакует цепкий шпионский троян Unicorn

Татьяна Никитина 19 Сентября 2024 - 20:52
...
Российскую энергетику атакует цепкий шпионский троян Unicorn

В начале текущего месяца защитные решения «Лаборатории Касперского» зафиксировали новые вредоносные рассылки, нацеленные на кражу данных у российских компаний. Анализ выявил неизвестного ранее трояна — шпионскую программу, нареченную Unicorn.

В отличие от собратьев данный зловред не удаляет себя после кражи, а продолжает жить в системе, воруя файлы по мере их появления или обновления — пока его не поймают за руку. Атакам подвергаются энергетические компании, заводы, разработчики и поставщики электронных компонентов.

Вредоносные письма содержат вложение или ссылку на RAR-файл на Яндекс.Диске. Архив содержит файл с двойным расширением .pdf.lnk — ярлык с командой на скачивание и запуск HTA, замаскированного под PDF.

 

При активации HTA выполняется скрипт VBS, который создает на диске update.vbs и upgrade.vbs и прописывает их на автозапуск. Вредонос также генерирует дополнительные ключи реестра (в HKCU\Software\ReaItek\Audio\) с зашифрованным VBS-кодом.

При запуске update.vbs создается папка %USERPROFILE%\AppData\Local\ReaItek, куда копируются файлы из домашнего каталога пользователя (txt, pdf, doc, docx, xls, xlsx, png, rtf, jpg, zip, rar весом менее 50 Мбайт, а также содержимое папки %USERPROFILE%\AppData\Roaming\Telegram Desktop\tdata).

Скрипт upgrade.vbs с помощью расшифрованного кода из реестра отправляет добычу на C2-сервер. Чтобы не повторяться, оба VBS создают себе памятку — ids.txt и oids.txt соответственно, куда записываются данные о скопированных / отправленных файлах, а также даты последних изменений этих объектов.

«Особенность этих атак заключается в том, что после кражи данных вредоносные скрипты остаются в системе, — подчеркнул эксперт Kaspersky Олег Купреев. — Вместо того чтобы один раз украсть данные и замести следы, вредоносное ПО продолжает передавать злоумышленникам новые или обновлённые файлы, пока его не обнаружат и не примут меры, что потенциально увеличивает масштаб возможных потерь».

Защитные решения ИБ-компании детектируют нового зловреда с вердиктом Trojan-Spy.VBS.Unicorn.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

МВД России запустило чат-бот для помощи жертвам мошенников
Яков Шпунт 27 Декабря 2024 - 10:36
Домашние пользователи Защита от мошенничества
МВД России запустило чат-бот для помощи жертвам мошенников

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России (УБК МВД) запустило чат-бот в Telegram для помощи пострадавшим от телефонных мошенников.

Бот, как сообщает подразделение, призван помочь принять правильное решение в стрессовой ситуации, когда преступники получили контроль над приложениями и онлайн-сервисами. Адрес бота — @cyberpolicerus_bot.

Как сообщает официальный представитель МВД Ирина Волк, конечная цель мошенников часто не ограничивается только кражей денег:

«Запугав потерпевших, аферисты не только требуют расстаться с деньгами, но и провоцируют на различные преступления, в том числе террористической направленности».

По оценкам ТАСС, количество инцидентов, связанных с попытками поджога различных объектов, превысило 40. Большинство тех, кто под влиянием злоумышленников пошел на преступления, составляют студенты и пенсионеры.

По данным исследования Ozon, проведенного в декабре 2024 года, с онлайн- и телефонным мошенничеством сталкивались 75% россиян или их родственников.

Средний возраст жертв аферистов составил 65 лет. Каждый десятый случай мошенничества завершился кражей денежных средств, из них треть потеряла более 50 тыс. рублей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Роскомнадзор грозит блокировкой 8 зарубежным хостинг-провайдерам
Новость
Роскомнадзор грозит блокировкой 8 зарубежным хостинг-провайд...
У Amazon утекли контактные данные сотрудников (имейлы, телефоны и пр.)
Новость
У Amazon утекли контактные данные сотрудников (имейлы, телеф...
Microsoft затруднила вредоносам повышение прав в Windows 11 24H2
Новость
Microsoft затруднила вредоносам повышение прав в Windows 11...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.