Санкт-Петербург /Абсолютъ ТВ / Новости / Специалисты компании Fortinet предупреждают о масштабной кампании по атакам на российских пользователей, использующих как RAT-трояны, так и шифровальщики. Злоумышленники эффективно используют уязвимости системы защиты Windows для её отключения.

Документ, который выглядит безобидно

Российские компании сталкиваются с регулярными атаками, в ходе которых злоумышленники пытаются внедрить в их сети удалённый троян Amnesia RAT и шифровальные программы. Об этом сообщает подразделение цифровой безопасности Fortinet — FortiGuard Labs.

По словам эксперта FortiGuard Кары Линь (Cara Lin), атака начинается с рассылки поддельных документов, которые выглядят совершенно безобидно. Эти документы и сопровождающие их скрипты служат для отвлечения внимания: пользователи переключаются на кажущиеся безобидными задачи и сообщения, в то время как в это время происходит вредоносное действие.

Как отмечает издание The Hacker News, текущая кампания выделяется на фоне других по нескольким причинам. Во-первых, различные компоненты вредоносного ПО размещаются на разных публичных сервисах: скрипты — на GitHub, а двоичные файлы — в Dropbox. Это усложняет процесс их удаления.

Кроме того, активно используется утилита defendnot, которая отключает Windows Defender, заставляя штатный антивирус системы считать, что в ней установлен другой антивирусный продукт. Эта утилита была разработана человеком, известным под ником Кes3n1n, который считается экспертом в области кибербезопасности.

Злоумышленники распространяют сжатые архивы, содержащие множество поддельных документов и вредоносный файл-ссылку LNK с двойным расширением.

При запуске этого файла выполняется команда PowerShell для загрузки с GitHub нового скрипта PowerShell, который действует как загрузчик первой очереди и подготавливает систему к скрытию любых следов вредоносной активности.

Пишите комментарии на Абсолютъ ТВ

Подписывайтесь в наших социальных сетях: