- Регистрация
- 23 Янв 2019
- Сообщения
- 1,351
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
Эксперты Cisco Talos обнаружили вредоносный сайт, созданный иранскими хакерами, через который устройства бывших американских военных пытаются заразить малварью.
Ресурс расположен по адресу hiremilitaryheroes.com и якобы предлагает работу отставным военным. Для получения доступа к предложениям о работе нужно загрузить специальное десктопное приложение. Оно, разумеется, является фейком и лишь устанавливает на машину малварь, при этом показывая пользователю поддельное сообщение об ошибке при установке.
Проникнув в систему, вредонос собирает информацию о технических характеристиках зараженной машины и передает собранные данные на почтовый ящик Gmail, контролируемый злоумышленниками. Так, малварь собирает информацию об операционной системе, количестве процессоров, конфигурации сети, периферийном оборудовании, версиях прошивок, контроллере домена, имени администратора, списке учетных записей, системных дате и времени, драйверах и так далее. Очевидно, эти данные могут пригодиться злоумышленникам для организации дальнейших атак. Кроме того, в систему устанавливается троян удаленного доступа, который способен запускать файлы, загруженные извне, выполнять sell-команды и, при необходимости, может удалить себя с компьютера хоста.
По информации Symantec, ранее эта группировка участвовала в атаках на цепочку поставок, нацеленных на 11 ИТ-провайдеров из Саудовской Аравии. Считается, что целью этих атак было использование инфраструктуры скомпрометированных компаний для доставки малвари в сети их клиентов.
Ресурс расположен по адресу hiremilitaryheroes.com и якобы предлагает работу отставным военным. Для получения доступа к предложениям о работе нужно загрузить специальное десктопное приложение. Оно, разумеется, является фейком и лишь устанавливает на машину малварь, при этом показывая пользователю поддельное сообщение об ошибке при установке.
Проникнув в систему, вредонос собирает информацию о технических характеристиках зараженной машины и передает собранные данные на почтовый ящик Gmail, контролируемый злоумышленниками. Так, малварь собирает информацию об операционной системе, количестве процессоров, конфигурации сети, периферийном оборудовании, версиях прошивок, контроллере домена, имени администратора, списке учетных записей, системных дате и времени, драйверах и так далее. Очевидно, эти данные могут пригодиться злоумышленникам для организации дальнейших атак. Кроме того, в систему устанавливается троян удаленного доступа, который способен запускать файлы, загруженные извне, выполнять sell-команды и, при необходимости, может удалить себя с компьютера хоста.
По информации Symantec, ранее эта группировка участвовала в атаках на цепочку поставок, нацеленных на 11 ИТ-провайдеров из Саудовской Аравии. Считается, что целью этих атак было использование инфраструктуры скомпрометированных компаний для доставки малвари в сети их клиентов.
