"Правый сектор" рассылает вирусы
28.01.2016
Рассылку фишинговых писем, которые использовались для атаки на украинский телеканал, зафиксировала «Лаборатория Касперского». Эксперты утверждают, что новый вид кибератаки, который несет серьезную угрозу, осуществлялся с применением троянских программ группировки BlackEnergy и был замаскирован под письма от имени объединения «Правый сектор».
Документ со скриптами
Троянская программа BlackEnergy была создана хакером под ником Cr4sh, который в 2007 году продал её исходный код за 700 долларов. Это вредоносное ПО было использовано для DDoS-атак в Грузии в 2008 году, а в 2014 году «Лаборатория Касперского» обнаружила группу киберпрестуников, которые применяли модули BlackEnergy для атаки на энергетические серверы в разных странах мира.
Документы Excel с макросами, которые устанавливают троянца на диск, если пользователь запускает скрипт в документе, группа BlackEnergy стала рассылать с середины 2015 года. В новых атаках использовались документы Word. Вложения с также содержали макросы и, предположительно, были созданы для вывода из строя серверов популярного украинского телеканала, шпионажа и компрометации системы.
Как это выглядит
Пользователь получает письмо с вложением в виде документа Word. Когда он открывает его, то видит нижнюю часть документа с логотипом «Правого сектора» и окно с рекомендациями включить макросы для просмотра.
Если сделать это, происходит заражение компьютера, и он пытается соединиться с сервером для получения инструкций. Когда сервер доступен, вредоносное ПО обращается к нему с запросом HTTP POST, отправляя основную информацию о цели и запрашивая команды.
Защититься от атаки можно, игнорируя фишинговые письма и не открывая подозрительных вложений. Кроме того, стоит своевременно обновлять операционную систему и пользоваться надежным антивирусным ПО.
