Reklama

Polityka i prawo

Rosyjscy „specjaliści” od phishingu wrócili z nową taktyką. Złośliwa kampania trwa

Fot. Johnny Silvercloud/flickr
Fot. Johnny Silvercloud/flickr

Eksperci Microsoft wykryli nową kampanię phishingową prowadzoną przez słynną grupę hakerską, specjalizującą się w cyberatakach na sektor finansowy. Cyberprzestępcy po okresie wyciszenia ponownie uderzyli, stosując odmienną taktykę. O incydencie poinformował zespół Microsoft Security Intelligence za pomocą Twittera.

Grupa hakerów, znana jako Dudear lub TA505, wznowiła swoją działalność, prowadząc nową złośliwą kampanię, która wykorzystuje przekierowania HTML w celu rozsyłania zainfekowanych dokumentów programu Microsoft Excel. Jak przypomina serwis Bankinfo Security, cyberprzestępcy zasłynęli z ukierunkowanych operacji wymierzonych w instytucje finansowe oraz podmioty przemysłowe z różnych państw, w tym USA.

Grupa została po raz pierwszy wykryta w 2014 roku i w ciągu ostatnich lat wyspecjalizowała się w złośliwych kampaniach wymierzonych w sektor finansowy. Analiza prowadzonych operacji sugeruje, że hakerzy Dudear mają siedzibę w Rosji – donosi Bankinfo Security.

Zespół specjalistów Microsoft (Microsoft Security Intelligence) za pomocą Twittera przedstawił szczegółowe informacje dotyczące trwającej kampanii phishingowej prowadzonej przez TA505. „Chociaż zauważyliśmy pewne zmiany w taktyce działania hakerów, to grupa Dudear nadal próbuje wdrożyć złośliwego trojana GraceWire, kradnącego informacje” – czytamy w komunikacie zamieszczonym na Twiterze.

Nowa kampania wykorzystuje linki dołączone do wiadomości e-mail. Po ich otwarciu  następuje pobranie złośliwego pliku programu Excel, który infekuje dane urządzenie. Specjaliści Microsoft wskazują, że podczas poprzednich operacji Dudear bazował przede wszystkim na załącznikach lub wykorzystywał złośliwe adresu URL.

Eksperci ostrzegają, że hakerzy posługują się różnymi językami oraz prowadzą specjalne operacje śledzenia adresów IP urządzeń, na które został pobrany wirus.

Microsoft Security Intelligence nie podaje jednak konkretnego źródła złośliwej kampanii, ani innych sugestii dotyczących tożsamości hakerów. Wiadomo jedynie, że operacja nadal trwa, dlatego należy zachować szczególną ostrożność w sieci.

Reklama
Reklama

Komentarze