Когда обычная установка Java оборачивается потерей корпоративных тайн.
В Казахстане выявлена активность хакерской группы под названием Bloody Wolf, которая использует вредоносное ПО STRRAT (известное также как Strigoi Master) для атак на организации. Об этом сообщает компания по кибербезопасности BI.ZONE.
Атаки начинаются с фишинговых писем, которые выглядят как сообщения от Министерства финансов Республики Казахстан и других государственных ведомств. Эти письма содержат PDF-файлы, маскирующиеся под уведомления о несоответствии работы организации-жертвы различным требованиям.
Для придания атакам легитимности, одна из ссылок ведёт на веб-страницу, связанную с правительственным сайтом, призывающую установить Java для обеспечения работы портала. Однако вредоносное ПО STRRAT размещено на веб-сайте, лишь имитирующем официальный сайт правительства Казахстана (egov-kz[.]online).
Вредонос закрепляется в системе Windows с помощью изменения реестра и запускает JAR-файл каждые 30 минут. Копия этого файла также дублируется в папку автозагрузки Windows, чтобы обеспечивать автоматический запуск при перезагрузке системы.
После установки STRRAT соединяется с сервером Pastebin для кражи конфиденциальной информации с заражённого устройства. Среди похищенных данных — информация об операционной системе, установленном антивирусном ПО, а также учётные данные из Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook и Thunderbird.
Вредоносное ПО также может получать дополнительные команды с сервера для загрузки и выполнения новых вредоносных файлов, записи нажатий клавиш, выполнения команд через cmd.exe или PowerShell, перезапуска или выключения системы, установки прокси и самоуничтожения.
Использование JAR-файлов позволяет хакерам обходить многие защитные механизмы, а применение легитимных веб-сервисов, таких как Pastebin, для связи с заражённой системой помогает избегать обнаружения сетевыми решениями безопасности, отмечают в BI.ZONE.
В свете этих атак казахским организациям рекомендуется проявлять повышенную бдительность и усиливать меры кибербезопасности для предотвращения проникновения вредоносного ПО.