3 часа назад
3
Сотни корпоративных пользователей из России столкнулись с атаками по ночам от одной из хакерских группировок, сообщили ТАСС в "Лаборатории Касперского". Эта кампания атакующих идет с декабря 2024 года.
За атаки ответственна группа хакеров, которую в "Лаборатории Касперского" назвали Librarian Ghouls. В рамках этой кампании ее члены активны с 01:00 до 05:00 (время - местное) и атакуют сотрудников производственных предприятий и технических вузов. Группировка ранее была замечена за проведением сложных атак на выбранные цели в РФ и странах СНГ, ее "арсенал" обычно состоит из легального ПО.
Цель атак в рамках "ночной" кампании - добиться получения удаленного доступа к устройствам и заполучить учетные данные. В зараженные ПК хакеры устанавливают майнер для нелегальной добычи криптовалюты. Также, предполагают исследователи, у группы появились фишинговые сайты, мимикрирующие под "известный российский почтовый сервис".
Атака начинается с фишинговых писем, содержащих вредоносные архивы, защищенные паролем. Будучи открытым, распакованным и запущенным, содержимое из архива перемещается в одну из папок на ПК, после чего возможно удаленное управление устройством. Также хакеры используют алгоритм действий, позволяющий им скрыть свое присутствие в системе.
Вредоносное ПО на зараженном ПК активируется в 01:00 по местному времени, а уже в 05:00 хакеры выключают ПК с помощью планировщика задач. За 4 часа преступники успевают с помощью своего ПО собрать и отправить себе учетные данные и ключевые фразы криптовалютных кошельков.
"После передачи украденной информации группе вредонос стирает из компьютера жертвы файлы, созданные в ходе атаки, и загружает в зараженную систему майнер - а в конце удаляет себя с устройства", - резюмируют в "Лаборатории Касперского".
.webp?img-format=auto&img-1-resize=height:350,fit:max&img-2-filter=sharpen)
