Spyware wykrada dane z rosyjskich firm
Autor. Tim Reckmann/ccnull.de/CC-BY 2.0
Złośliwe oprogramowanie potajemnie wykrada dokumenty, logi systemowe i zrzuty ekranu z komputerów rosyjskich firm. Atak rozpoczyna się od e-maila z fałszywą umową, który prowadzi do pobrania szkodliwego skryptu, analizującego system i dane ofiary. Informacje są następnie przesyłane na zewnętrzne serwery, a spyware działa dalej w tle, zbierając coraz więcej plików bez wiedzy użytkownika.
Badacze z Kaspersky Lab odkryli oprogramowanie szpiegujące Batavia wykorzystywane do wykradania dokumentów rosyjskich przedsiębiorstw. Według ustaleń ekspertów, miało być rozsyłane od lipca ubiegłego roku.
Klasyczny phishing
Jak podają eksperci atakujący rozsyłają fałszywe e-maile z domeny oblast-ru(.)com, podszywając się pod dostawców. W wiadomości znajduje się link do rzekomej umowy, który po kliknięciu prowadzi do pobrania ZIP, a po otwarciu pliku z rozszerzeniem VBE.
Autor. Kasoersky
Czytaj też
Uruchomienie złośliwego skryptu
Po uruchomieniu skrypt zbiera podstawowe informacje o komputerze ofiary, takie jak system operacyjny, konfiguracja sprzętowa czy sieciowa, a następnie przesyła je na zdalny serwer należący do atakujących. Stamtąd pobierany jest kolejny plik. Tym razem to złośliwy program napisany w Delphi, który kontynuuje zbieranie danych z komputera i wysyła je na domenę: ru-exchange(.)com.
Na tym jednak się nie kończy. Pobierany jest trzeci plik o nazwie javav.exe, wykradający dane z projektów C++. Projekty C++ często zawierają wrażliwe dane techniczne, np. kod źródłowy aplikacji, systemów embedded, firmware, narzędzi przemysłowych lub rozwiązań komercyjnych.
Program dodaje się do autostartu, dzięki czemu uruchamia się automatycznie za każdym razem, gdy pracownik włączy komputer. Na tym etapie złośliwe oprogramowanie poszerza swój zakres działania. Zaczyna przeszukiwać komputer w poszukiwaniu różnych typów plików, takich jak obrazy, prezentacje, maile, dokumenty tekstowe, arkusze kalkulacyjne czy archiwa ZIP i RAR.
Eksperci z firmy Kaspersky, którzy analizowali atak, zauważyli, że może istnieć jeszcze czwarty etap. Wskazują na plik o nazwie windowsmsg.exe, który najprawdopodobniej odpowiada za kolejne działania hakerów. Do tej pory nie udało się go odzyskać.
Według ekspertów, kampania trwała co najmniej rok, a złośliwe e-maile trafiły do ponad stu użytkowników z różnych organizacji.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
WYCIEKI DANYCH z firm. JAK ZAPOBIEGAĆ wynoszeniu danych przez pracowników?
Materiał sponsorowany