Обычное служебное письмо запускает цепочку, которую трудно заметить вовремя.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Чем привычнее выглядит вложение, тем легче спрятать за ним сложную атаку. Как сообщает Касперский, группа Armored Likho начала рассылать новый стилер BusySnake Stealer сотрудникам государственных организаций и энергетических компаний в России, Казахстане и Бразилии. Вредонос на Python раньше не описывали, а первые загрузчики злоумышленники создавали с помощью языковых моделей.
Атака начинается с адресных писем под видом официальных уведомлений, психологических тестов или заявок на гуманитарную помощь. В архиве находится исполняемый файл либо ярлык LNK. После запуска жертва видит отвлекающий документ или анкету, пока загрузчик скачивает Python, необходимые библиотеки и основной модуль BusySnake Stealer. Затем вредонос закрепляется в Windows через запланированную задачу и запускается каждые пять минут.
BusySnake собирает содержимое буфера обмена, документы, снимки экрана, пароли и файлы cookie из браузеров. По команде управляющего сервера вредонос ищет ключи двухфакторной аутентификации, файлы криптокошельков и данные сеансов Telegram , а также создаёт обратный SSH-туннель для удалённого доступа к заражённому компьютеру.
В новой версии разработчики усложнили закрепление в системе и добавили запуск произвольных Python -скриптов прямо в памяти, без сохранения на диск. Такой подход затрудняет анализ и позволяет быстро менять набор функций под конкретную цель.
Касперский связывает кампанию с Armored Likho со средней уверенностью. Основанием стали сходства с прежними инструментами группы, включая структуру команд, способы закрепления и механизм обратных SSH-туннелей. Кампания остаётся активной, подтверждённые цели находятся в государственном секторе и электроэнергетике.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Чем привычнее выглядит вложение, тем легче спрятать за ним сложную атаку. Как сообщает Касперский, группа Armored Likho начала рассылать новый стилер BusySnake Stealer сотрудникам государственных организаций и энергетических компаний в России, Казахстане и Бразилии. Вредонос на Python раньше не описывали, а первые загрузчики злоумышленники создавали с помощью языковых моделей.
Атака начинается с адресных писем под видом официальных уведомлений, психологических тестов или заявок на гуманитарную помощь. В архиве находится исполняемый файл либо ярлык LNK. После запуска жертва видит отвлекающий документ или анкету, пока загрузчик скачивает Python, необходимые библиотеки и основной модуль BusySnake Stealer. Затем вредонос закрепляется в Windows через запланированную задачу и запускается каждые пять минут.
BusySnake собирает содержимое буфера обмена, документы, снимки экрана, пароли и файлы cookie из браузеров. По команде управляющего сервера вредонос ищет ключи двухфакторной аутентификации, файлы криптокошельков и данные сеансов Telegram , а также создаёт обратный SSH-туннель для удалённого доступа к заражённому компьютеру.
В новой версии разработчики усложнили закрепление в системе и добавили запуск произвольных Python -скриптов прямо в памяти, без сохранения на диск. Такой подход затрудняет анализ и позволяет быстро менять набор функций под конкретную цель.
Касперский связывает кампанию с Armored Likho со средней уверенностью. Основанием стали сходства с прежними инструментами группы, включая структуру команд, способы закрепления и механизм обратных SSH-туннелей. Кампания остаётся активной, подтверждённые цели находятся в государственном секторе и электроэнергетике.
- Источник новости
- www.securitylab.ru