lans.by

Фишинговая кампания FreeMilk использует чаты для распространения вредоносного ПО

Исследователи безопасности из компании Palo Alto Networks обнаружили новую фишинговую кампанию, получившую название FreeMilk.

В ходе кампании хакеры перехватывают электронную переписку для последующего распространения вредоносного ПО в корпоративных сетях. При этом фишинговые сообщения выполнены настолько профессионально, что жертва не догадывается о подвохе.

Объектами атак FreeMilk уже стали несколько крупных корпоративных сетей, в том числе принадлежащие одному ближневосточному банку, нескольким европейским фирмам, международной спортивной организации и «ряду лиц, связанных со страной в Северо-Восточной Азии» (предположительно речь идет о Северной Корее).

Злоумышленники эксплуатируют уязвимость CVE-2017-0199 в Microsoft Office, позволяющую удаленно выполнить код. Уязвимость связана с тем, как Microsoft Office и Wordpad обрабатывают специально сформированные файлы. Проблема была исправлена в апреле текущего года.

Эксплоит позволяет злоумышленникам получить полный контроль над зараженной системой путем хищения учетных данных. Затем хакеры перехватывают переписку целевого объекта с помощью специально сформированного контента, призванного обманом заставить жертву установить вредоносное ПО из якобы доверенного источника.

В случае успешной атаки на целевую систему устанавливается два типа вредоносных программ — PoohMilk и Freenki. Основная задача первой — запуск Freenki, которая, в свою очередь, собирает информацию на зараженном компьютере и может загружать дополнительное вредоносное ПО.

Информация, собранная Freenki, включает имя пользователя, имя компьютера, MAC-адреса и данные о запущенных процессах. Freenki также может делать скриншоты на зараженной системе. Вся информация отправляется на C&C-сервер злоумышленников.

По словам исследователей, вредоносное ПО PoohMilk уже использовалось в ходе фишинговой кампании в начале 2016 года. Freenki также было использовано хакерами в августе 2016 года в ходе атак на сайты, критикующие правительственный режим в Северной Корее.

Источник

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *