Преступники освоили новый метод маскировки вредоносного ПО, скрывая его в изображениях и текстовых файлах, которыми они заражают десятки российских компаний и государственных учреждений. Об этом рассказали специалисты Positive Technologies в беседе с РИА Новости.
Согласно данным PT Expert Security Center, атакам подверглись промышленные компании, научные центры и государственные структуры. Преступники прибегли к технике стеганографии, которая позволяет замаскировать вредоносные коды внутри изображений и документов, отправляемых жертвам под видом безобидных файлов.
Отмечается, что за атаками стоит группировка, давно занимающаяся промышленным шпионажем, основной интерес которой сосредоточен на организациях Восточной Европы. В своих операциях злоумышленники используют классический метод фишинга, отправляя поддельные письма от якобы официальных лиц, содержащие просьбы ознакомиться с документами или поставить на них подпись. Как только получатели открывают эти файлы, на их устройства загружается вредоносное ПО.
Специалисты заметили, что фишинговые письма содержат архивы, защищенные паролем, внутри которых и прячутся вредоносные документы. При открытии таких файлов на устройства жертв загружаются скрипты, которые скачивают изображения со скрытым ПО, внедренным с использованием стеганографии.
Аналитики предположили, что группа PhaseShifters, стоящая за этими атаками, могла перенять методики от группировки TA558, активно атакующей организации по всему миру. В результате анализа цепочек атак специалисты выяснили, что UAC-0050 (или UAC-0096) — еще одна группировка, использующая похожие приемы и атакующая компании в России, Украине, Польше, Беларуси и других странах региона с 2020 года.