IT-cпециалисты из ISSP Labs зафиксировали начало новой волны кибератак с использованием официального сайта компании по разработке комплекса бухгалтерского учета.
"При мониторинге вирусной активности была обнаружена рассылка, в которой был идентифицирован интересный образец. Файл с названием "док.zip" загружается вместе с полученным электронным письмом, которое открывает жертва, и является текстовым файлом со скриптом на языке JavaScript", – говорится в сообщении ISSP.
Как сообщается, вредоносный файл загружается с cfm.com.ua, сайта программного комплекса бухгалтерского учета Crystal Finance Millennium.
Скрипт является загрузчиком, основная задача которого скачать и запустить исполняемый файл load.exe, который становится окном для злоумышленников.
СБУ ПРЕДУПРЕДИЛА О НОВОЙ МАСШТАБНОЙ КИБЕРАТАКЕ 24 АВГУСТА - ЧТО ДЕЛАТЬ
Вирус собирает информацию о компьютере жертвы и отправляет ее на командные центры злоумышленников. Параллельно с этим файл ждет указаний от хакеров и ждет установки дополнительных модулей, которые превратят компьютер жертвы в нужный для преступников ресурс.
"Вероятно, злоумышленники использовали уязвимости сайта для размещения там вредоносных файлов, или это результат атаки NotPetya 27.06.2017. Так что возможно это первая "ласточка" подготовки полномасштабной кибератаки перед праздниками", – отмечают эксперты.