Вредоносное ПО под названием MalAgent.AutoITBot распространяется в виде файла под именем «File.exe» и использует тактики для компрометации пользовательских данных, включая перехват данных из буфера обмена, запись нажатий клавиш и потенциальное управление устройствами ввода.
После запуска вредонос пытается открыть страницу входа в Gmail с использованием популярных браузеров: Microsoft Edge, Google Chrome и Mozilla Firefox.
Вирус способен записывать нажатия клавиш, читать содержимое буфера обмена и даже управлять вводом с клавиатуры и мыши. Эти возможности позволяют вредоносному ПО собирать конфиденциальную информацию, такую как имена пользователей, пароли и другие важные данные.
Руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников говорит, что подобный почтовый бот может быть с легкостью адаптирован для атак на корпоративные сети, ведь его функционал намного шире атак на учетную запись в google.
«Не стоит забывать, что многие пользователи работают со своих устройств или пользуются сервисами google с рабочих станций, что приводит к тому, что подобная атака может быть проведена на корпоративных пользователей. В результате киберпреступники способны похищать корпоративные учетные записи и проникать внутрь периметра сети. Эффективнее с подобными атаками справляются средства защиты информации, оснащенные анализаторами поведения пользователя – UEBA. К классу таких программ относиться Ankey ASAP, который использует ИИ внутри своих модулей и данные о паттернах поведения, чтобы диагностировать аномальное поведение рабочих станций, серверов и учетных записей пользователей. Благодаря машинному обучению, основанному на больших объемах датасетов, а также экспертизе команды разработки, Ankey ASAP может выявлять атаки нулевого дня, что позволяет успешно бороться с нетиповыми вторжениями в корпоративную сеть».