«Лаборатория Касперского» выявила кибератаку на промышленные предприятия
Набор вредоносных модулей, предназначенных для атак на промышленные предприятия, выявлен специалистами «Лаборатории Касперского», об этом 9 октября сообщается на сайте it-world.ru.
Набор под названием MontysThree состоит из четырех вредоносных модулей: зараженного самораспаковывающегося архива, загрузчика, графического файла со стеганографией и основного вредоносного модуля.
Самораспаковывающийся архив (SFX, RAR) содержит загрузчик MontysThree и маскируется под списки контактов сотрудников, файлы с инженерной документацией или медицинские данные в формате.pdf или.doc. Если пользователь открывает зараженный файл, то загрузчик расшифровывает основной вредоносный модуль MontysThree из графического файла со стеганографией.
Основной модуль MontysThree для предотвращения обнаружения шифруется несколькими алгоритмами, чаще всего алгоритмом RSA для связи с управляющим сервером и получения обновлений и конфигурационных файлов. Файлы конфигурации принимаются вирусом, в них содержится перечень команд для выполнения. Чаще всего MontysThree ищет документы Microsoft Office и Adobe Acrobat.
Дополнительно MontysThree умеет делать снимки рабочего стола, анализирует сетевые и локальные настойки жертвы и так далее. Найденные данные шифруются и передаются хозяевам вируса через облачные хранилища Google Drive, Microsoft One Drive, Dropbox.
Для хранения себя в зараженной системе вредоносный модуль использует панель быстрого запуска Windows Quick Launch. Каждый раз, когда пользователь системы вызывает панель, вирус запускает свой основной модуль и выполняет работу.
Эксперты компании «Лаборатория Касперского» сообщили, что не обнаружили сходства MontysThree с другими инструментами, найденными в ходе других хакерских атак. Эксперты считают, что атаки с использованием MontysThree будут продолжаться, а вредоносный набор будет развиваться своими создателями.
Напомним, использование рабочего компьютера для работы и личных развлечений сотрудниками компаний, которые работают удаленно из-за пандемии, является источником киберопасности, заявили сотрудники «Лаборатории Касперского» 5 мая, сообщает сайт компании.
Специалисты отметили, что около 73% работников используют рабочий компьютер как для работы, так и для развлечений. Игры онлайн или просмотр контента для взрослых подвергает риску установки на рабочий компьютер хакерских программ, которые позволяют скачивать личные данные карт и конфиденциальную информацию с компьютеров компаний.
