- 13,854
- 20
- 8 Ноя 2022
Зловред крадет конфиденциальные данные и запускает DDoS-атаки.
В конце июля специалисты «Лаборатории Касперского» Для просмотра ссылки Войдиили Зарегистрируйся новый вид вредоносного ПО, который распространялся через веб-сайт одной из российских энергетических компаний. Вредоносная программа получила название CMoon. Злоумышленники заменили ссылки на нормативные документы в нескольких разделах сайта на те, что вели к скачиванию вредоносных исполняемых файлов. Этот вирус способен красть конфиденциальные данные, запускать DDoS-атаки и распространяться на другие устройства.
Аналитики компании выяснили, что на сайте было подменено около двух десятков ссылок, каждая из которых вела к самораспаковывающемуся архиву. Внутри архива находился исходный документ и исполняемый файл — новое вредоносное ПО CMoon, названное так за строки в коде файла.
Атака была тщательно подготовлена и направлена на конкретных посетителей сайта организации. Червь CMoon мог искать и отправлять на сервер злоумышленников файлы из пользовательских папок Desktop, Documents, Photos, Downloads и внешних носителей, если в тексте содержались ключевые слова, такие как «секрет», «служебн», «парол» и другие. Это указывает на целевую атаку. Также могли скачиваться файлы с информацией о защите системы, действиях пользователя и его учетных данных. Вредоносное ПО также могло делать скриншоты экрана.
Из веб-браузеров вирус собирал файлы с сохраненными паролями, cookies, закладками, историей посещений и данными для автозаполнения форм, включая информацию о кредитных картах. CMoon также мониторил подключенные USB-накопители, что позволяло красть потенциально интересные файлы и заражать другие компьютеры, к которым эти накопители могли быть подключены.
После обнаружения заражения «Лаборатория Касперского» немедленно сообщила об этом владельцам ресурса, и вредоносные файлы были удалены. Специалисты подчеркнули, что атака была направлена на подрядчиков и партнеров организации.
По словам специалистов «Лаборатории Касперского», с угрозой столкнулось незначительное количество пользователей. Однако важно, чтобы организации учли новые техники атак в своей политике безопасности, чтобы минимизировать риски.
В конце июля специалисты «Лаборатории Касперского» Для просмотра ссылки Войди
Аналитики компании выяснили, что на сайте было подменено около двух десятков ссылок, каждая из которых вела к самораспаковывающемуся архиву. Внутри архива находился исходный документ и исполняемый файл — новое вредоносное ПО CMoon, названное так за строки в коде файла.
Атака была тщательно подготовлена и направлена на конкретных посетителей сайта организации. Червь CMoon мог искать и отправлять на сервер злоумышленников файлы из пользовательских папок Desktop, Documents, Photos, Downloads и внешних носителей, если в тексте содержались ключевые слова, такие как «секрет», «служебн», «парол» и другие. Это указывает на целевую атаку. Также могли скачиваться файлы с информацией о защите системы, действиях пользователя и его учетных данных. Вредоносное ПО также могло делать скриншоты экрана.
Из веб-браузеров вирус собирал файлы с сохраненными паролями, cookies, закладками, историей посещений и данными для автозаполнения форм, включая информацию о кредитных картах. CMoon также мониторил подключенные USB-накопители, что позволяло красть потенциально интересные файлы и заражать другие компьютеры, к которым эти накопители могли быть подключены.
После обнаружения заражения «Лаборатория Касперского» немедленно сообщила об этом владельцам ресурса, и вредоносные файлы были удалены. Специалисты подчеркнули, что атака была направлена на подрядчиков и партнеров организации.
По словам специалистов «Лаборатории Касперского», с угрозой столкнулось незначительное количество пользователей. Однако важно, чтобы организации учли новые техники атак в своей политике безопасности, чтобы минимизировать риски.
- Источник новости
- www.securitylab.ru
