Новости Новая группа Dark Pink атакует госучреждения Южной Азии с помощью вредоносного ПО KamiKakaBot

[NewsMaker]

С момента своей последней кампании хакеры усовершенствовали методы уклонения от обнаружения.​

---

---

Исследователи безопасности из ИБ-компании Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся , что правительственные хакеры атакуют военные и правительственные организации в Южной Азии с помощью вредоносного ПО под названием KamiKakaBot, предназначенного для кражи конфиденциальной информации.

Эксперты приписали атаки Group-IB сообщила в январе. В обеих атаках группа использовала ISO-образы, в которых хранятся копии файлов для доставки вредоносного ПО на компьютер. Затем хакеры запустили вредоносное ПО, используя метод боковой загрузки DLL ( Для просмотра ссылки Войди или Зарегистрируйся ), при котором легитимное ПО запускает вредоносный код.

Основное различие между двумя кампаниями, по словам EclecticIQ, заключается в том, что хакеры улучшили свои методы избегания обнаружения, используя легитимные инструменты для обхода средств защиты.

---

---

Цепочка заражения KamiKakaBot Вредоносное ПО KamiKakaBot

KamiKakaBot предназначено для кражи конфиденциальной информации из популярных веб-браузеров Chrome, Edge и Firefox. Вредоносное ПО крадёт из них пароли, историю просмотра и cookie-файлы. Вредоносная программа также даёт хакерам контроль над устройством и позволяет удаленно выполнять код на зараженном компьютере.

KamiKakaBot отправляет украденные данные браузера в Telegram-канал злоумышленников в ZIP-архиве, причем название ZIP-файлов совпадает с именем зараженных устройств, что позволяет киберпреступникам классифицировать своих жертв.

Эксперты EclecticIQ считают, что группа Dark Pink продолжит совершенствовать свои Для просмотра ссылки Войди или Зарегистрируйся , чтобы избежать обнаружения экспертами по безопасности, учитывая их «творческие» методы получения и поддержания доступа к устройствам своих жертв.