Эксперты компании Forcepoint раскрыли новую схему распространения вредоносной программы – атака начинается с того, что пользователь получает письмо с вложением в формате «.docx». После скачивания и запуска файла потенциальная жертва обнаруживает внутри сокращенную веб-ссылку. При нажатии на нее происходит загрузка вредоносного ПО, вредоносный код маскируется с помощью сложного шифрования.
Троян позволяет злоумышленникам получить полный контроль над зараженным компьютером, он способен красть пароли и финансовые данные, а также устанавливать дополнительные вредоносные программы. Также злоумышленникам открывается доступ к файловой системе, они могут управлять процессами, создавать скриншоты, записывать звук и видео с микрофона и веб-камеры.
«В разрезе кибербезопасности, есть два временных параметра, которые оценивают успешность реагирования на атаку из вне: среднее время на определение и среднее время на ответ. Именно эти параметры важны и критичны при защите. Подобного рода атаки могут засекать антивирусные программы, однако в случае если сигнатура трояна новая, то тут защитить чувствительные данные смогут только программы, которые умеют анализировать паттерны поведения пользователей, например, Ankey ASAP. Заражение подобным трояном вызывает аномалии в системных процессах и сетевом траффике, которые являются нетипичными для рядового пользователя. Такие аномалии и позволяют выявить нелегитимную активность злоумышленника на зараженном узле сети», – говорит руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников.