Новое шпионское ПО, похищающее данные пользователей
Как сообщила компания ESET, ее эксперты обнаружили новые вредоносные программы, похищающие данные, в том числе платежные, пользователей и компаний.
Одно из них, шпионская программа Evilnum, нацелена на финтех-компании и их клиентов. Evilnum похищает конфиденциальные данные: информацию о кредитных картах клиентов и документы, удостоверяющие личность; электронные таблицы и документы со списками клиентов, сведениями об инвестициях и торговых операциях; внутренние презентации; лицензии на ПО и учетные данные для ПО торговых платформ; учетные данные электронной почты. Преступники также могут получить доступ к информации, связанной с ИТ-инфраструктурой, например конфигурации VPN.
В ходе атаки пользователь получает e-mail со ссылкой на Google Drive, по которой можно скачать ZIP-файл. В нем хранится несколько LNK-файлов (ярлыков), которые извлекают и запускают вредоносный компонент JavaScript при отображении документа-приманки. Документы-приманки, в свою очередь, маскируются под безобидные. Как правило, они представляют собой фотографии кредитных карт, документов, удостоверяющих личность, или счетов с подтверждением адреса, так как многие финансовые учреждения требуют от своих клиентов предоставить такие данные. Компонент JavaScript, в свою очередь, может развернуть другие вредоносные программы. Каждый из компонентов имеет собственный C&C-сервер и может действовать независимо.
ПО Evilnum может получать команды, включая такие, как сбор и отправка паролей, сохраненных в Google Chrome; остановка и удаление вредоносного; сбор и отправка куки Google Chrome на C&C-сервер; сохранение скриншотов.
По данным ESET, атаки большей частью сосредоточены на территории стран ЕС и Соединенного Королевства, несколько атак зафиксировано в Канаде и Австралии.
Другое вредоносное ПО, обнаруженное ESET, маскируется под приложение для общения Welcome Chat на ОС Android. Оно распространяется через веб-сайт, на котором пользователям предлагается попробовать защищенный чат, якобы доступный в Google Play.
Welcome Chat, подчеркивают эксперты, это шпионская программа, операторы которой размещали данные жертв в открытом доступе. При этом приложение никогда не было размещено в официальном магазине. Это подтверждается тем, что для его установки требуется дать соответствующее разрешение в настройках устройства. Приложение также запрашивает разрешения на отправку и просмотр СМС, доступ к файлам, записи аудио и геолокации. Благодаря этим разрешениям Welcome Chat может получать команды от C&C-сервера и загружать туда любую собранную информацию.
Эта программа нацелена преимущественно на страны Ближнего Востока. Как считают в ESET, за ним может стоять группа киберпреступников Gaza Hacker, известная также как Molerats.