Сотни корпоративных пользователей из России столкнулись с атаками по ночам от одной из хакерских группировок, сообщили ТАСС в "Лаборатории Касперского". Эта кампания атакующих идет с декабря 2024 года.
За атаки ответственна группа хакеров, которую в "Лаборатории Касперского" назвали Librarian Ghouls. В рамках этой кампании ее члены активны с 01:00 до 05:00 (время – местное) и атакуют сотрудников производственных предприятий и технических вузов. Группировка прежде была замечена за проведением сложных атак на выбранные цели в РФ и странах СНГ, ее "арсенал" обычно состоит из легального ПО.
Цель атак в рамках "ночной" кампании – добиться получения удаленного доступа к устройствам и заполучить учетные данные. В зараженные ПК хакеры устанавливают майнер для нелегальной добычи криптовалюты. Также, предполагают исследователи, у группы появились фишинговые сайты, мимикрирующие под "известный российский почтовый сервис".
Атака начинается с фишинговых писем, содержащих вредоносные архивы, защищенные паролем. Будучи открытым, распакованным и запущенным, содержимое из архива перемещается в одну из папок на ПК, после чего вероятно удаленное управление устройством. Также хакеры используют алгоритм действий, позволяющий им скрыть свое присутствие в системе.
Вредоносное ПО на зараженном ПК активируется в 01:00 по местному времени, а уже в 05:00 хакеры выключают ПК с помощью планировщика задач. За 4 часа преступники успевают с помощью своего ПО собрать и отправить себе учетные данные и ключевые фразы криптовалютных кошельков.
"После передачи украденной информации группе вредонос стирает из компьютера жертвы файлы, созданные в ходе атаки, и загружает в зараженную систему майнер – а в конце удаляет себя с устройства", – резюмируют в "Лаборатории Касперского".