Россиян предупредили о вредоносных файлах, которые активируются в ночное время Специалисты «Лаборатории Касперского» заметили новую волну атак группы Librarian Ghouls, которая началась ещё в декабре 2024 года и продолжается до сих пор.
В основном злоумышленники работают с часу ночи до пяти утра по местному времени. За это время они пытаются украсть логины и пароли, получить удалённый доступ к компьютерам и заразить их майнером, чтобы тайно добывать криптовалюту.
Жертвами стали сотни сотрудников российских предприятий и вузов. Атаки начинаются с рассылки фишинговых писем, где во вложениях находятся защищённые паролем архивы с вредоносными файлами.
Обычно такие письма маскируются под официальные сообщения с документами.
Пользователь вводит пароль из письма, распаковывает архив и запускает файлы, среди которых могут быть PDF с фейковым платёжным поручением , утилита curl и скрипт bat.lnk. Вредоносное ПО копируется в папку C:\Intel, а для удалённого контроля злоумышленники ставят программу AnyDesk.
В ряде случаев фишинговые сайты группы имитируют популярный российский почтовый сервис, чтобы украсть учётные данные.
По данным экспертов, в процессе атаки злоумышленники отключают Защитник Windows и делают так, чтобы программа AnyDesk подключалась без подтверждений, используя заранее заданный пароль.
Для скрытия следов заражённый компьютер каждый день выключается ровно в пять утра, а запуск вредоносных скриптов происходит в час ночи. За эти четыре часа злоумышленники успевают собрать данные, включая пароли и ключи криптокошельков, затем загружают майнер и удаляют свои следы.
Представитель «Лаборатории Касперского» отметил, что группа не пишет собственное ПО, а пользуется легальными утилитами, постоянно совершенствуя методы атак и используя новые приёмы социальной инженерии.
Рубрика: Технологии. Читать весь текст на www.ferra.ru.