ESET обнаружил новую кибератаку, нацеленную на госучреждения Украины

Как отмечает SecurityLab, злоумышленники заражают компьютеры жертв вредоносным ПО для хищения данных и аудиозаписи разговоров. Для этого используется троян для удаленного доступа Vermin и еще два вредоноса - Sobaken и Quasar, последний из которых является ПО с открытым исходным кодом.

Вредоносное программногое обеспечение распространяется посредством фишинговых писем и уже заразило компьютерные сети множества украинских госучреждений. По словам специалистов, данная кампания активна по меньшей мере с октября 2015 года.

Vermin является наиболее мощным из трех вредоносов. Помимо выполнения стандартных задач, таких как мониторинг происходящего на экране, загрузка дополнительной полезной нагрузки и файлов, он также содержит набор дополнительных функций, позволяющих полностью скомпрометировать устройство жертвы. В частности, он может включать запись звука, похищать пароли и считывать нажатия клавиш.

Помимо этого, атакующие используют трояны Quasar и Sobaken. Quasar представляет собой вредоносное ПО с открытым исходным кодом, оснащенное набором команд для слежки и хищения данных из зараженной системы. Sobaken - модифицированная версия Quasar, в которой отсутствуют некоторые функции, однако, ее исполняемый файл меньшего размера, а следовательно, ее легче скрыть.

Вредоносная программа самостоятельно удалится, если раскладка клавиатуры жертвы не является русской или украинской, либо если если IP-адрес устройства не российский или украинский. В настоящее время неясно, кто именно стоит за атаками. Несмотря на то, что атакующие не обладают серьезными навыками и не имеют доступ к неизвестным уязвимостям нулевого дня, они довольно успешно используют социальную инженерию для распространения вредоносного ПО и сокрытия своей деятельности в течение длительного периода времени, отметили исследователи.