Эксперты сообщают об атаках на корпоративных пользователей, в том числе в российских организациях. Письма хакеров приходят якобы от людей, с которыми получатели уже вели деловую переписку, то есть злоумышленники встраиваются в уже существующий диалог.

Волна началась в десятых числах мая, а пик атаки пришелся на период с 15 по 18 мая. За несколько дней эксперты зафиксировали почти 5000 подобных писем.

Как правило, тема письма указывает, что внутри может находиться запись аудиоконференции, информация о встрече или детали по реальному проекту. Во всех этих письмах содержится ссылка, за которой скрывается малварь: если получатель переходит по ней, на устройство проникает троян-загрузчик PikaBot.

По словам экспертов, PikaBot — новое семейство малвари. На сегодняшний день оно применяется в основном для скрытой установки других вредоносных семейств, а также для исполнения произвольного кода командной строки, полученной с удаленного сервера.

Отмечается, что в атаках PikaBot используются те же методы и иногда та же инфраструктура, что и для распространения банковского трояна Qbot, способного извлекать пароли и куки из браузеров, воровать письма, перехватывать трафик, давать операторам удаленный доступ к зараженной системе.

«Семейство PikaBot умеет проверять языковые настройки целевой системы. Злоумышленников интересуют русский, белорусский, таджикский, словенский, грузинский, казахский, узбекский. Если зловред „видит” эти языки, то атака прекращается. Может показаться, что PikaBot пока не представляет серьезной угрозы для российских пользователей, однако в России уже было зафиксировано существенное количество атак и ситуация может измениться в любой момент, так как вместо PikaBot может быть загружен более деструктивный вредоносный файл», — добавляет Артем Ушков, исследователь угроз «Лаборатории Касперского».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии