В последние дни была обнаружена и успешно пресечена новая масштабная кибератака, направленная на распространение вредоносного программного обеспечения Vidar через взломанные учетные записи Certified E-Mail. Как сообщает CERT-AGID, злоумышленники использовали ранее скомпрометированные почтовые ящики для рассылки вредоносных писем, адресованных сотрудникам избирательных комиссий (УИК).
Описание
Атака началась вскоре после полуночи и продолжалась менее часа - с 01:27 до 02:14 по местному времени. Это уже не первый случай, когда злоумышленники выбирают ночное время для своих операций, вероятно, рассчитывая на сниженную бдительность сотрудников и задержки в реагировании со стороны служб безопасности. По данным менеджеров УИК, в ходе кампании использовалась схема, аналогичная той, что применялась в июле этого года, когда злоумышленники распространяли Vidar через поддельные счета-фактуры.
Вредоносное письмо содержало ссылку на ZIP-архив с названием "Invoice" (Счет), внутри которого находился измененный VBS-скрипт. После запуска этот скрипт загружал исполняемый файл Vidar, но на этот раз с использованием нестандартного метода доставки. Вместо прямого скачивания вредоносного кода злоумышленники задействовали файл с расширением .gif, содержимое которого было зашифровано с помощью XOR. Примечательно, что загрузка этого файла происходила только в том случае, если запрос отправлялся с определенным User-Agent - 'CryptoAPI'. Это указывает на то, что атакующие применяли дополнительные меры для маскировки своей активности и усложнения анализа вредоносной нагрузки.
Vidar - это троян-похититель данных, который активно используется киберпреступниками для кражи конфиденциальной информации, включая логины, пароли, данные банковских карт и криптовалютных кошельков. Его распространение через поддельные письма от доверенных источников делает его особенно опасным, так как пользователи могут не заподозрить подвох.
CERT-AGID оперативно отреагировал на угрозу, заблокировав рассылку вредоносных писем и предупредив потенциальных жертв. Однако эксперты подчеркивают, что подобные атаки могут повториться, и рекомендуют организациям усилить меры кибербезопасности. В частности, важно обучать сотрудников распознаванию фишинговых писем, внедрять многофакторную аутентификацию и регулярно обновлять антивирусное ПО.
Данный инцидент в очередной раз демонстрирует, что злоумышленники постоянно совершенствуют свои методы, используя как технические ухищрения, так и социальную инженерию. В условиях роста числа кибератак особое значение приобретает оперативное взаимодействие между государственными структурами, компаниями и частными пользователями для своевременного выявления и нейтрализации угроз.
Индикаторы компрометации
Domains
- martinelliglobal.com
URLs
- https://martinelliglobal.com/file/dmM2PGCY.gif
- https://martinelliglobal.com/JiNZYvfDpE
- https://martinelliglobal.com/Ml8gJiUqkS
- https://martinelliglobal.com/p9awiydFdo
MD5
- 9d0174b44987e08999d2596684b2ea4a
- baa7e2906129e83e1964455f0f34f310
SHA1
- 1c3ca7215a4309f8bb3dc6ad75d7bc794e7c35f3
- 4d475dca3de6fe55e244dbf13931d994b12f64e9
SHA256
- 8c591e9b1e295c0ea04d53ad3d795a1c1fe64abb9810a2e1103251324173c23c
- b215df3d6e7de20dd8a451ebbcb9b807b987ffa22d6281ac0d2ace46d32da62d
