- 9,443
- 18
- 8 Ноя 2022
Злоумышленники доставляют зловредный софт через поддельные страницы на LinkedIn.
Эксперты по кибербезопасности обнаружили новую угрозу, которая направлена против компаний из сферы энергетики, телекоммуникаций и машиностроения в Бразилии и Филиппинах. Вирус-вымогатель RedEnergy распространяется через поддельные страницы LinkedIn и может как шифровать данные жертв, так и похищать их.
Для просмотра ссылки Войдиили Зарегистрируйся исследователей из компании Zscaler , вирус имеет возможность похищать информацию из различных браузеров, действуя как классический инфостилер . Кроме того, вредонос включает различные модули для проведения вымогательских действий. Главная цель преступников — эффективно сочетать кражу данных с шифрованием, чтобы нанести максимальный ущерб своим жертвам.
Многоступенчатая атака начинается с кампании «FakeUpdates» (также известной как SocGholish), которая обманывает пользователей, заставляя их скачивать вредоносное программное обеспечение на основе JavaScript под видом обновлений браузера.
Изменения в рассмотренной специалистами кампании заключаются в использовании реальных страниц LinkedIn для привлечения жертв. Тех из них, кто кликнул на фишинговый URL-адрес, хакеры перенаправляют на поддельную страницу, предлагающую обновить свой браузер, нажав на соответствующую иконку (Google Chrome, Microsoft Edge, Mozilla Firefox или Opera). При этом, естественно, скачивается зловредный исполняемый файл.
После загрузки и запуска вредоноса, он устанавливает своё постоянство в системе и загружает вышеупомянутый RedEnergy, способный тайно собирать, выгружать и шифровать файлы жертв, подвергая их риску потенциальной потери, раскрытия или даже продажи.
Исследователи Zscaler сообщили о том, что в рассмотренной кампании обнаружили подозрительные взаимодействия по протоколу FTP , что свидетельствует о том, что именно он используется для пересылки данных злоумышленникам.
В процессе шифрования вредонос добавляет забавное расширение «.FACKOFF!» к каждому файлу, удаляя существующие резервные копии и оставляя записку о выкупе в каждой папке. Жертвам предлагается заплатить 0.005 BTC (около 150 долларов или 13 500 рублей) на криптовалютный кошелек, указанный в записке вымогателей, чтобы восстановить доступ к своим файлам.
Небольшой размер выкупа говорит о том, что хакеры хотят увеличить свои шансы на его получение, а также заодно захватить и простых пользователей домашних компьютеров. А двойное назначение RedEnergy как похитителя информации и вымогателя-шифровальщика демонстрирует определённую эволюцию киберпреступного ландшафта.
Эксперты Zscaler рекомедуют как физическим, так и юридическим лицам проявлять крайнюю бдительность и осторожность при доступе к веб-сайтам, особенно тем, которые связаны с профилями LinkedIn. Как и обращать внимание на неожиданные загрузки файлов, которые пользователи сами не инициировали.
Эксперты по кибербезопасности обнаружили новую угрозу, которая направлена против компаний из сферы энергетики, телекоммуникаций и машиностроения в Бразилии и Филиппинах. Вирус-вымогатель RedEnergy распространяется через поддельные страницы LinkedIn и может как шифровать данные жертв, так и похищать их.
Для просмотра ссылки Войди
Многоступенчатая атака начинается с кампании «FakeUpdates» (также известной как SocGholish), которая обманывает пользователей, заставляя их скачивать вредоносное программное обеспечение на основе JavaScript под видом обновлений браузера.
Изменения в рассмотренной специалистами кампании заключаются в использовании реальных страниц LinkedIn для привлечения жертв. Тех из них, кто кликнул на фишинговый URL-адрес, хакеры перенаправляют на поддельную страницу, предлагающую обновить свой браузер, нажав на соответствующую иконку (Google Chrome, Microsoft Edge, Mozilla Firefox или Opera). При этом, естественно, скачивается зловредный исполняемый файл.
После загрузки и запуска вредоноса, он устанавливает своё постоянство в системе и загружает вышеупомянутый RedEnergy, способный тайно собирать, выгружать и шифровать файлы жертв, подвергая их риску потенциальной потери, раскрытия или даже продажи.
Исследователи Zscaler сообщили о том, что в рассмотренной кампании обнаружили подозрительные взаимодействия по протоколу FTP , что свидетельствует о том, что именно он используется для пересылки данных злоумышленникам.
В процессе шифрования вредонос добавляет забавное расширение «.FACKOFF!» к каждому файлу, удаляя существующие резервные копии и оставляя записку о выкупе в каждой папке. Жертвам предлагается заплатить 0.005 BTC (около 150 долларов или 13 500 рублей) на криптовалютный кошелек, указанный в записке вымогателей, чтобы восстановить доступ к своим файлам.
Небольшой размер выкупа говорит о том, что хакеры хотят увеличить свои шансы на его получение, а также заодно захватить и простых пользователей домашних компьютеров. А двойное назначение RedEnergy как похитителя информации и вымогателя-шифровальщика демонстрирует определённую эволюцию киберпреступного ландшафта.
Эксперты Zscaler рекомедуют как физическим, так и юридическим лицам проявлять крайнюю бдительность и осторожность при доступе к веб-сайтам, особенно тем, которые связаны с профилями LinkedIn. Как и обращать внимание на неожиданные загрузки файлов, которые пользователи сами не инициировали.
- Источник новости
- www.securitylab.ru
