Эксперты обнаружили новое заражающее компьютеры вредоносное ПО

05.10.2020 16:30 665

Обнаружена целевая кампания кибершпионажа, говорится в сообщении «Лаборатории Касперского». Злоумышленники заражают компьютеры вредоносной программой, которая собирает все недавние документы на устройстве жертвы, архивирует их и передает мошенникам.

Программа UEFI загружается еще до операционной системы и контролирует все процессы на «раннем старте». С помощью нее злоумышленник может получить полный контроль над компьютером: изменить память, содержание диска или заставить систему запустить вредоносный файл. Избавиться от нее не поможет ни замена жесткого диска, ни переустановка ОС.

«Файл представляет собой загрузчик, он связывается с сервером управления, собирает все недавние документы на компьютере, архивирует их и передает обратно на сервер. Это просто шпионаж… Сейчас есть информация о двух жертвах буткита UEFI, а также нескольких жертвах кампании, столкнувшихся с целевым фишингом. Все они являются дипломатами либо членами НКО, а их деятельность связана с Северной Кореей», — прокомментировал ведущий антивирусный эксперт «Лаборатории Касперского» Игорь Кузнецов.

В России заметили новую киберпреступную группировку

Атаки XDSpy начинаются с фишингового письма по электронной почте с вложениями, например файлами PowerPoint, ZIP или ярлыками.

Эксперты также выяснили, что в основу компонентов буткита UEFI положен код Vector-EDK — специальный конструктор, который был создан кибергруппой Hacking Team и содержит инструкцию по созданию модуля для перепрошивки UEFI. В 2015 году эти и другие исходники Hacking Team в результате утечки оказались в свободном доступе, что позволило злоумышленникам создать собственное ПО.

«Существуют разные методы заражения UEFI: если этот микрочип не был защищен должным образом, то с помощью спецпрограммы или даже легальных утилит для обновления UEFI можно запустить вредоносную версию прошивки. Есть еще способ, предполагающий физический доступ к оборудованию. Как бы то ни было, мы имеем дело с мощным, продвинутым инструментом для кибератак, далеко не каждому злоумышленнику под силу сделать такой. Однако с появлением готовых рабочих примеров возникает опасность повторного использования технологии, тем более что инструкции к ней по-прежнему может скачать любой», — добавил Кузнецов.

Источник: РИА Новости

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Анализ сайта - PR-CY Rank