Вирусная лаборатория ESET обнаружила кибератаку на украинские финансовые компании. Хакеры управляют вредоносным ПО через Telegram и оставляют на зараженных компьютерах отсылки к сериалу «Мистер Робот».
Атака начинается с фишингового письма с документом-приманкой – файлом Excel с вредоносным макросом. Исполнение макроса приводит к запуску даунлоадера, который загружает с удаленного сервера основную программу – бэкдор Python/TeleBot.
TeleBot «общается» с атакующими при помощи Telegram. У каждого образца бэкдора есть свой аккаунт в мессенджере. Хакеры отправляют бэкдору команды: загрузить в чат изображения и другие файлы с зараженного компьютера, сообщить информацию о системе и пр. Кроме того, бэкдор сохраняет в своей папке файлы, полученные от атакующих, – так в систему переправляются другие вредоносные программы.
Помимо Telegram бэкдор может использовать другие каналы связи. Например, аналитики ESET изучили образец, который использовал в качестве командного сервера ящик на outlook.com.
После заражения компьютера атакующие перехватывают нажатия клавиш, собирают сохраненные пароли из большинства браузеров и учетные данные Windows. Данные позволяют компрометировать другие устройства внутри локальной сети.
Вредоносный инструмент BCS-server открывает доступ к внутренней сети организации. Он позволяет атакующим взаимодействовать с внутренними серверами и открывает доступ к незараженным (пока) компьютерам. Инструкция к BCS-server написана на русском.
На финальном этапе атаки используется деструктивный компонент KillDisk. Программа удаляет важные системные файлы, после чего компьютер перестает загружаться, а также переписывает файлы некоторых типов. Изученные вESET образцы «знали», в частности, форматы .doc, .docx, .xls, .xlsx, .zip, .rar и др.
KillDisk может создавать новые небольшие файлы взамен удаленных. Новые содержат одну из двух строк: mrR0b07 или fS0cie7y – вместо исходного содержимого. Это не единственная отсылка к сериалу «Мистер Робот» – изученная версия KillDisk отображает соответствующую картинку.
Интересно, что малварь не хранит изображение. Код рисует картинку в режиме реального времени при помощи Windows GDI.
Цель киберпреступников, стоящих за этими атаками, - саботаж. Для реализации намерения они изобретают вредоносные программы и схемы, в частности, Telegram Bot API вместо командного сервера.
Более подробная информация об атаке и индикаторы заражения – в официальном блоге ESET на WeLiveSecurity.
ESET занимается разработками в области информационной безопасности. Компания изучает методы атак, их цели, вредоносные программы и уязвимости, чтобы обеспечить безопасность киберпространства и защитить пользователей. Кроме того, по возможности ESET помогает потенциальным жертвам усилить меры безопасности.
Исследование ESET содержит только информацию технического характера. Чтобы в этом убедиться, достаточно ознакомиться с документом. Отчет не содержит предположений об источнике атак. Идентифицировать атакующих можно только при наличии исчерпывающих доказательств, строить догадки недопустимо. В отчете ESET – только подтвержденные факты.
Атака начинается с фишингового письма с документом-приманкой – файлом Excel с вредоносным макросом. Исполнение макроса приводит к запуску даунлоадера, который загружает с удаленного сервера основную программу – бэкдор Python/TeleBot.
TeleBot «общается» с атакующими при помощи Telegram. У каждого образца бэкдора есть свой аккаунт в мессенджере. Хакеры отправляют бэкдору команды: загрузить в чат изображения и другие файлы с зараженного компьютера, сообщить информацию о системе и пр. Кроме того, бэкдор сохраняет в своей папке файлы, полученные от атакующих, – так в систему переправляются другие вредоносные программы.
Помимо Telegram бэкдор может использовать другие каналы связи. Например, аналитики ESET изучили образец, который использовал в качестве командного сервера ящик на outlook.com.
После заражения компьютера атакующие перехватывают нажатия клавиш, собирают сохраненные пароли из большинства браузеров и учетные данные Windows. Данные позволяют компрометировать другие устройства внутри локальной сети.
Вредоносный инструмент BCS-server открывает доступ к внутренней сети организации. Он позволяет атакующим взаимодействовать с внутренними серверами и открывает доступ к незараженным (пока) компьютерам. Инструкция к BCS-server написана на русском.
На финальном этапе атаки используется деструктивный компонент KillDisk. Программа удаляет важные системные файлы, после чего компьютер перестает загружаться, а также переписывает файлы некоторых типов. Изученные вESET образцы «знали», в частности, форматы .doc, .docx, .xls, .xlsx, .zip, .rar и др.
KillDisk может создавать новые небольшие файлы взамен удаленных. Новые содержат одну из двух строк: mrR0b07 или fS0cie7y – вместо исходного содержимого. Это не единственная отсылка к сериалу «Мистер Робот» – изученная версия KillDisk отображает соответствующую картинку.
Интересно, что малварь не хранит изображение. Код рисует картинку в режиме реального времени при помощи Windows GDI.
Цель киберпреступников, стоящих за этими атаками, - саботаж. Для реализации намерения они изобретают вредоносные программы и схемы, в частности, Telegram Bot API вместо командного сервера.
Более подробная информация об атаке и индикаторы заражения – в официальном блоге ESET на WeLiveSecurity.
ESET занимается разработками в области информационной безопасности. Компания изучает методы атак, их цели, вредоносные программы и уязвимости, чтобы обеспечить безопасность киберпространства и защитить пользователей. Кроме того, по возможности ESET помогает потенциальным жертвам усилить меры безопасности.
Исследование ESET содержит только информацию технического характера. Чтобы в этом убедиться, достаточно ознакомиться с документом. Отчет не содержит предположений об источнике атак. Идентифицировать атакующих можно только при наличии исчерпывающих доказательств, строить догадки недопустимо. В отчете ESET – только подтвержденные факты.
.png)