Вірус поширюється через бухгалтерське ПЗ Crystal Finance Millennium

Фахівці ISSP Labs 22 серпня зафіксували нову хвилю поширення вірусу з використанням офіційного сайту компанії з розробки комплексу бухгалтерського обліку Crystal Finance Millennium. Про це пише Liga.net.

«Під час моніторингу вірусної активності була виявлена ​​розсилка, в якій був ідентифікований цікавий зразок. Файл з назвою «док.zip» завантажується разом з отриманим електронним листом, що його відкриває жертва, і є текстовим файлом зі скриптом на мові JavaScript», – повідомляють фахівці ISSP.

Скрипт є завантажувачем, основне завдання якого скачати і запустити файл load.exe, який стає вікном для зловмисників.

Шкідливий файл збирає інформацію про комп’ютер жертви і відправляє її на командні центри зловмисників. Цей же файл чекає на вказівки від зловмисників щодо установки додаткових модулів.

Вони перетворюють комп’ютер жертви в бажаний для хакерів ресурс (це може бути бекдор, через який зловмисники можуть проникати в інфраструктуру, оминаючи засоби захисту; кейлоґер, який буде збирати інформацію про натиснуті клавіші і відправляти її командним центрам; сканер, який збиратиме інформацію про інфраструктуру і багато іншого).

«Ймовірно, зловмисники використовували уразливості сайту для розміщення там шкідливих файлів, або це результат атаки NotPetya 27.06.2017. Тож, можливо це перша «ластівка» підготовки повномасштабної кібератаки перед святами», – зазначають експерти ISSP Labs.

Нагадаємо, команда CERT-UA повідомляла про можливу кібератаку на інформаційні ресурси України на День Незалежності 24 серпня.

Як відомо, 27 червня низка українських компаній та банків зазнала хакерських атак від вірусу Petya.А. Він також паралізував роботу Кабміну та вивів з ладу електронний документообіг Чорнобильської атомної електростанції.

БЕЗ КОМЕНТАРІВ