Специалисты по информационной безопасности «Лаборатории Касперского» в конце июля 2024 года сообщили об обнаружении с применением инструментов мониторинга Kaspersky ранее неизвестного вредоносного софта. Распространение вируса происходило через официальный сайт одной отечественной энергетической организации. Выявленный вирус специалисты назвали CMoon, сообщает пресс-служба «Лаборатории Касперского».
Как рассказали эксперты, хакеры в этом случае действовали по следующей схеме: в нескольких разделах предварительно скомпрометированного официального сайта организации они поменяли ссылки на скачивание нормативной документации на собственные, которые вели пользователя при клике на загрузку вредоносных исполняемых файлов. После проникновения на пользовательское устройство выявленное вредоносное ПО имело возможность красть с скомпрометированного компьютера или телефона конфиденциальную информацию и платёжные данные, запускать DDoS-атаки на другие сервисы и распространяться на различные гаджеты. В итоге кибератака могла быть направлена на подрядчиков и партнёров энергетической компании.
На текущий момент все вредоносные ссылки с официального сайта пострадавшей организации были удалены.
В «Лаборатории Касперского» подчёркивают, что в течение своей атаки хакеры смогли подменить на официальном ресурсе энергетического предприятия примерно 20 ссылок. По каждой из них после клика начиналась загрузка самораспаковывающихся архивов, которые имели в себе исходные документы, интересующие пользователя, а также исполняемый файл, являющийся вредоносным программным обеспечением.
Аналитики «Лаборатории Касперского» отмечают, что эта атака является достаточно сложной и была нацелена на пользователей сайта конкретного энергетического предприятия, поэтому можно сделать вывод о её длительной подготовке.
После проникновения на пользовательское устройство вредоносный софт искал и отправлял на сервер киберпреступников файлы, которые он находил в пользовательских папках Desktop, Documents, Photos, Downloads, а также на подключённых внешних носителях, содержащих в тексте строки «секрет», «служебн», «парол» и другие ключевые слова, что явно указывает на целенаправленность проведённой кибератаки.
Ещё по теме: