StrongPity2 вместо FinFisher – кибершпионаж продолжается
Компания ESET сообщила о продолжении операции кибершпионажа со следами участия в схеме крупного интернет-провайдера.
В сентябре нынешнего года ESET представила исследование вредоносной кампании по распространению шпионской программы FinFisher (FinSpy), которая ранее продавалась правительственным структурам. Операция проводилась в семи странах мира, причем в двух из них в распространении FinFisher мог участвовать крупный интернет-провайдер. 21 сентября, в день публикации отчета, кампания была приостановлена.
Но уже 8 октября в одной из двух стран, где в распространении FinFisher подозревается интернет-провайдер, стартовала идентичная операция, использующая ту же самую необычную схему переадресации Web-браузеров. Теперь вместо FinFisher распространяется новое шпионское ПО – Win32/StrongPity2. Изучив вредоносную программу, в ESET обнаружили ее сходство со шпионской программой (spyware), которую в прошлом предположительно использовала кибергруппа StrongPity.
Первое сходство – сценарий атаки. Пользователь, который пытается загрузить легитимное ПО, перенаправляется на поддельный сайт, с которого загружается версия нужной программы, зараженная StrongPity2. Специалисты ESET, в частности, обнаружили зараженные версии CCleaner, Driver Booster, браузера Opera, Skype, VLC Media Player, WinRAR. Кроме того, среди общих черт StrongPity и StrongPity2 – идентичные фрагменты кода, структура конфигурационных файлов, необычный алгоритм шифрования, версия libcurl 7.45 и способ эксфильтрации файлов.
В Win32/StrongPity2 предусмотрена возможность кражи файлов, в первую очередь документов с расширениями .ppt, .pptx, .xls, .xlsx, .txt, .doc, .docx, .pdf, .rtf. Кроме того, программа может загружать другое вредоносное ПО и выполнять его с привилегиями скомпрометированной учетной записи.
Начиная с 8 октября системы телеметрии ESET зафиксировали больше ста попыток атак с использованием Win32/StrongPity2.
Все продукты ESET, включая бесплатный инструмент ESET Online Scanner, детектируют и блокируют угрозу, а также удаляют StrongPity2 из зараженной системы.