Оффлайн
- Регистрация
- 12.01.18
- Сообщения
- 1.064
- Реакции
- 189
- Репутация
- 10
You must be registered for see images attach
Proofpoint официально не называет операторов вредоносной кампании, однако некоторые свидетельства указывают на причастность к ней китайских киберпреступников, а точнее, группировки APT10.
Нынешний отчет исследователей является продолжением отчета , опубликованного 2 августа. В то время сообщалось, что фишинговые письма получили только три компании в период с 19 по 25 июля. Однако, судя по новому отчету, вредоносная операция оказалась масштабнее, чем предполагалось изначально. Публикация августовского отчета никак не отразилась на активности киберпреступников (за исключением незначительных изменений в тактике), и кампания продолжилась до конца августа.
Если изначально фишинговые письма маскировались под сообщения от Национального совета экзаменаторов инженерии и исследований США (NCEES), то в августе злоумышленники стали рассылать письма от имени организации Global Energy Certification (GEC). В письма были вложены безобидные документы наряду с вредоносными.
После открытия вредоносного файла Word DOC от жертвы требовалось включить макросы, после чего встроенный VBA-скрипт загружал на систему троян LookBack. Данный вредонос написан на C++ и появился сравнительно недавно. Для передачи данных с инфицированного компьютера на удаленный сервер троян использует прокси. LookBack позволяет просматривать процессы, систему и файлы, удалять файлы, выполнять команды, делать снимки экрана, перемещать курсор и кликать мышью, перезагружать компьютер и способен удалять себя с зараженного хоста.
*Источник - https://www.securitylab.ru/news/501337.php