Представители компании рассказали о хакерских атаках, от которых пострадали сотни корпоративных пользователей, главным образом производственные предприятия и техвузы. Атаки были организованы группировкой Librarian Ghouls. Хакеры орудуют с декабря 2024 года и действуют по ночам: с 01:00 до 05:00 по местному времени.
Взломщики устанавливают удаленный доступ к устройству и получают учетные данные жертвы. Далее они устанавливают на устройства майнер для нелегальной добычи криптовалюты. Лаборатория Касперского также заявила о том, что группа начала использовать дополнительные методы хищения информации с помощью фишинговых сайтов, мимикрирующих под «известный российский почтовый сервис».
Злоумышленники отправляют фишинговые письма с вложенным архивированным файлом. Файл зашифрован специальным паролем. При открытии письма содержимое файла перемещается на ПК и дает возможность удаленно управлять устройством. За четыре часа хакеры с помощью своего программного обеспечения собирают и отправляют себе учетные данные и ключевые фразы криптовалютных кошельков, необходимые для восстановления доступа к ним. Позже кибермошенники отключаются с помощью планировщика задач, сообщает ТАСС.
«После передачи украденной информации группе вредонос стирает из компьютера жертвы файлы, созданные в ходе атаки, и загружает в зараженную систему майнер — а в конце удаляет себя с устройства», — указано в сообщении Лаборатории Касперского.
Librarian Ghouls и ранее проводили сложные атаки на объекты в России и странах СНГ, используя инструменты на основе легальных приложений.
Ранее в МВД советовали проверять ссылки, прежде чем переходить по ним. Сделать это можно при помощи инструмента VirusTotal.
