Новости Россия и Казахстан под ударом шпионов. Пять минут хватает новому вирусу для кражи паролей госслужащих

NewsMaker

I'm just a script
Премиум
28,068
46
8 Ноя 2022
Обычное служебное письмо запускает цепочку, которую трудно заметить вовремя.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
fz4s6wa01l20hnnpx5kcg1cy3mwftv9c.jpg

Чем привычнее выглядит вложение, тем легче спрятать за ним сложную атаку. Как сообщает Касперский, группа Armored Likho начала рассылать новый стилер BusySnake Stealer сотрудникам государственных организаций и энергетических компаний в России, Казахстане и Бразилии. Вредонос на Python раньше не описывали, а первые загрузчики злоумышленники создавали с помощью языковых моделей.

Атака начинается с адресных писем под видом официальных уведомлений, психологических тестов или заявок на гуманитарную помощь. В архиве находится исполняемый файл либо ярлык LNK. После запуска жертва видит отвлекающий документ или анкету, пока загрузчик скачивает Python, необходимые библиотеки и основной модуль BusySnake Stealer. Затем вредонос закрепляется в Windows через запланированную задачу и запускается каждые пять минут.

BusySnake собирает содержимое буфера обмена, документы, снимки экрана, пароли и файлы cookie из браузеров. По команде управляющего сервера вредонос ищет ключи двухфакторной аутентификации, файлы криптокошельков и данные сеансов Telegram , а также создаёт обратный SSH-туннель для удалённого доступа к заражённому компьютеру.

В новой версии разработчики усложнили закрепление в системе и добавили запуск произвольных Python -скриптов прямо в памяти, без сохранения на диск. Такой подход затрудняет анализ и позволяет быстро менять набор функций под конкретную цель.

Касперский связывает кампанию с Armored Likho со средней уверенностью. Основанием стали сходства с прежними инструментами группы, включая структуру команд, способы закрепления и механизм обратных SSH-туннелей. Кампания остаётся активной, подтверждённые цели находятся в государственном секторе и электроэнергетике.
 
Источник новости
www.securitylab.ru

Похожие темы