- 14,381
- 20
- 8 Ноя 2022
Вредоносное ПО крадёт больше, чем кажется: опасность растёт.
В сентябре специалисты «Лаборатории Касперского» Для просмотра ссылки Войдиили Зарегистрируйся серию атак на российские энергетические компании с использованием нового троянского вируса под названием Unicorn. Этот вредоносный код нацелен на кражу конфиденциальной информации у предприятий, поставщиков и разработчиков электронных компонентов. Основной способ распространения троянца — вредоносные письма с вложениями, отправленные по электронной почте. В отличие от других подобных атак зловред не самоудаляется сразу после кражи информации, а продолжает похищать новые и изменившиеся файлы, пока его не обнаружат.
Заражение происходит через вложенные в письма файлы или ссылки на Яндекс.Диск. Вложение представляет собой RAR-архив с файлом, имеющим двойное расширение: pdf и lnk (ярлык). Ярлык содержит команду на скачивание и запуск файла, который замаскирован под PDF-документ, но на самом деле является HTML-приложением. Запуск этого файла активирует VBS-скрипт, который создаёт на компьютере два файла: update.vbs и upgrade.vbs. Эти скрипты вносят изменения в реестр, обеспечивая автозапуск и хранят шифрованный вредоносный код.
Троянец копирует нужные файлы, создавая для этого специальную папку. Его интересуют документы размером более 50 Мб с расширениями txt, pdf, doc, docx, xls, xlsx, png, rtf, jpg, zip и rar. После этого другой скрипт, upgrade.vbs, отправляет эти файлы на сервер злоумышленников, используя расшифрованный код из реестра. При этом информация о переданных данных и времени их изменения сохраняется в текстовых файлах, что позволяет вирусу избегать повторной отправки тех же документов.
Отличительной чертой данного троянца является его способность продолжать сбор данных после первичной кражи. Как отмечают в «Лаборатории Касперского», такие атаки могут привести к значительным потерям, поскольку вредоносная программа продолжает передавать информацию злоумышленникам до тех пор, пока не будет приняты меры по её устранению.
В сентябре специалисты «Лаборатории Касперского» Для просмотра ссылки Войди
Заражение происходит через вложенные в письма файлы или ссылки на Яндекс.Диск. Вложение представляет собой RAR-архив с файлом, имеющим двойное расширение: pdf и lnk (ярлык). Ярлык содержит команду на скачивание и запуск файла, который замаскирован под PDF-документ, но на самом деле является HTML-приложением. Запуск этого файла активирует VBS-скрипт, который создаёт на компьютере два файла: update.vbs и upgrade.vbs. Эти скрипты вносят изменения в реестр, обеспечивая автозапуск и хранят шифрованный вредоносный код.
Троянец копирует нужные файлы, создавая для этого специальную папку. Его интересуют документы размером более 50 Мб с расширениями txt, pdf, doc, docx, xls, xlsx, png, rtf, jpg, zip и rar. После этого другой скрипт, upgrade.vbs, отправляет эти файлы на сервер злоумышленников, используя расшифрованный код из реестра. При этом информация о переданных данных и времени их изменения сохраняется в текстовых файлах, что позволяет вирусу избегать повторной отправки тех же документов.
Отличительной чертой данного троянца является его способность продолжать сбор данных после первичной кражи. Как отмечают в «Лаборатории Касперского», такие атаки могут привести к значительным потерям, поскольку вредоносная программа продолжает передавать информацию злоумышленникам до тех пор, пока не будет приняты меры по её устранению.
- Источник новости
- www.securitylab.ru
