«Лаборатория Касперского» обнаружила новый червь CMoon, распространявшийся через веб-сайт энергетической компании.
Преступники подменили в нескольких разделах ресурса ссылки на скачивание нормативных документов на другие, ведущие на вредоносные исполняемые файлы. Зловред мог выгружать с заражённого устройства пользователя конфиденциальные и платёжные данные, запускать DDoS-атаки на интернет-ресурсы, а также распространяться на другие устройства. Атака могла быть направлена на поставщиков и партнёров организации. Обнаружив заражение, «Лаборатория Касперского» сразу сообщила о нём владельцам ресурса и вредоносные файлы по ссылкам были удалены.
Преступники подменили на сайте энергетической компании около двух десятков ссылок, по каждой из которых скачивался самораспаковывающийся архив. Он содержал внутри себя исходный документ, а также один и тот же исполняемый файл - новое вредоносное ПО, которое аналитики «Лаборатории Касперского» назвали CMoon за соответствующие строки в коде вредоносного файла.
Сложность атаки повелевает на то, что она была нацелена на посетителей сайта конкретной организации и была тщательно подготовлена, отмечают эксперты. Червь мог отыскивать и отправлять на сервер преступников файлы из пользовательских папок Desktop, Documents, Photos, Downloads и с наружных носителей, содержащие в тексте подстроки «секрет», «служебн», «парол» и те ключевые слова - это является признаком целевой атаки. Также могли скачиваться файлы со сведениями о защите системы, действиях пользователя и его учётных данных. Кроме того, зловред мог делать скриншоты экрана.
Из веб-браузеров могли собираться файлы, содержащие сохранённые пароли, файлы cookie, закладки, история посещений, а также сведения для автозаполнения форм, включая данные о кредитных картах.
Червь мог мониторить подключённые USB-накопители. Это позволяло украсть потенциально занимательные злодеям файлы со съёмных носителей, а также скопировать на них червь и заразить другие компьютеры, к которым накопитель мог быть подключён.
Фото: Freepik.com