Изображения атакуют промышленные предприятия.

Эксперты Kaspersky обнаружили серию атак на организации, расположенные в Японии, Италии, Германии и Великобритании. На начальной стадии атаки, хакеры используют фишинговые письма с текстом, написанным на целевом для каждой конкретной жертвы языке. Интересно, что малварь используемый в атаке активизируется только в том случае если ОС имеет локализацию, соответствующую языку, использованному в фишинговом письме. Сами письма содержат в себе вредоносный макрос.

Который запускает PowerShell скрипт, который в свою очередь случайно выбирает один из записанных в нем URL-адресов, ведущих на публичные хостинги изображений (imgur.com и imgbox.com). Оттуда скачивается изображение, расположенное по ссылке, и начинается процедура извлечения данных.

Данные которые извлекает малварь из изображения находятся в пикселях номер которых задан определенным алгоритмом. Такой способ использования стенографии, позволяет злоумышленникам обойти некоторые средства защиты.

Данные из картинки последовательно закодированы алгоритмом Base64, зашифрованы алгоритмом RSA и снова закодированы Base64. После расшифровки данных из картинки оказываются еще одним PowerShell-скрипт, который запускается на выполнение. В свою очередь извлеченный скрипт, декодирует еще часть своего содержимого, которые так же зашифрованы с помощью Base64.

В результате вредоносная программа получает еще один PowerShell скрипт – обфусцированный("запутанный, спрятанный") экземпляр вредоносной программы "Trojan-PSW.PowerShell.Mimikatz" В последствии через троян, хакеры крадут учетные данные записей Windows которые могут подойти и к другим системам внутри предприятий.

Эксперт резюмируют, что применение описанных методик, а также точечный характер заражений говорят о таргетированной направленности атак. Вызывает беспокойство специалистов и тот факт, что среди жертв атаки присутствуют подрядчики промышленных предприятий.

Сообщает Хакер.ru