Хакеры воруют пароли у российских компаний с помощью ПО с открытым исходным кодом

Об этом сообщили эксперты киберразведки BI.ZONE, которые обнаружили соответствующие действия злоумышленников в отношении российских организаций из разных отраслей.

Целью злоумышленников является распространение вредоносного программного обеспечения (ВПО) Umbral, которое собирает с зараженных компьютеров учетные данные пользователей.

«Примечательно, что исходные коды ВПО размещены в открытом доступе на веб-сервисе для хранения ИТ-проектов GitHub и доступны всем желающим», – подчеркивают в BI.ZONE.

По словам экспертов, для доставки UmbralStealer в корпоративные сети злоумышленники выбрали простой, но эффективный метод — фишинговые письма, к которым прилагаются ISO-файлы (дисковые образы), содержащие вредоносные ярлыки. Преступники замаскировали их под документы с названием «План Рейдеров». Открытие такого файла и запускало процесс компрометации устройства.

По информации BI.ZONE, UmbralStealer позволяет киберпреступникам обходить средства защиты, повышать привилегии, собирать информацию о скомпрометированной системе и извлекать аутентификационные данные из таких приложений, как Brave, Chrome, Chromium, Comodo, Edge, EpicPrivacy, Iridium, Opera, Opera GX, Slimjet, UR Browser, Vivaldi, «Яндекс Браузер», Roblox, Minecraft и Discord.

Многие из этих приложений могут содержать не только пароли для личных учётных записей, но и для корпоративных, что может позволить атакующим получить первоначальный доступ к целевой сети. Например, путём использования деловой электронной почты для рассылки фишинговых писем внутри организации или получения паролей к иным сервисам путём анализа почтовой переписки. При этом Umbral не использует традиционные методы коммуникации с командным сервером — вместо этого данные выгружаются через инфраструктуру мессенджера Discord, отмечают в BI.ZONE.

По словам Олега Скулкина, руководителя управления киберразведки BI.ZONE, сегодня многие киберпреступники, в том числе те, что вовлечены в атаки с использованием программ-вымогателей, используют легитимные учетные данные для получения первоначального доступа к корпоративным сетям.

30 мая, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

27.09.2023
В правительстве разработали меры борьбы с нехваткой вычислительных мощностей для развития ИИ
27.09.2023
«Мы признаём, что работа в России несовместима со стратегией Binance»
27.09.2023
Кабмин подготовит новую Национальную стратегию в сфере инновационных технологий
27.09.2023
NCSC активно вовлекает компании в проведение учений по реагированию на ИБ-инциденты
27.09.2023
Искусственный интеллект: во благо и во вред
27.09.2023
Ашманов: Сейчас образовался пузырь искусственного интеллекта
26.09.2023
Sony отказывается платить выкуп взломщикам
26.09.2023
Держатели банковских карт всё чаще попадают в прицел кибермошенников
26.09.2023
РКН обязал поисковики помечать «неприземлившихся» провайдеров хостинга
26.09.2023
Как будут выглядеть компенсации пострадавшим от утечек ПДн

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных