На сайте российской компании скрывался «киберчервь»

Эксперты «Лаборатории Касперского» обнаружили новый зловред CMoon, распространявшийся через веб-сайт российской энергетической компании. Рассказываем, как функционирует червь и чем он грозит пользователям сети.
Зловред мог красть конфиденциальные данные и запускать DDoS-атаки
Зловред мог красть конфиденциальные данные и запускать DDoS-атакиИсточник: Unsplash

В конце июля инструменты мониторинга «Лаборатория Касперского» заметили ранее неизвестное вредоносное программное обеспечение, которое распространялось через сайт одной из российских энергетических компаний. Оно получило название CMoon из-за соответствующих строк в коде вредоносного файла. Об этом рассказала пресс-служба «Лаборатории Касперского».

Злоумышленники действовали так: в нескольких разделах ресурса они подменили ссылки на скачивание нормативных документов на другие, ведущие на вредоносные исполняемые файлы. Зловред мог выгружать с зараженного устройства пользователя конфиденциальные и платежные данные, запускать DDoS-атаки на интернет-ресурсы, а также распространяться на другие устройства. Атака могла быть направлена на подрядчиков и партнеров организации.

Сообщается, что владельцам ресурса уже сообщили о зловреде. Сейчас вредоносные программы по ссылкам уже удалены.

Тем не менее за время работы вредоносного ПО злоумышленникам удалось подменить на сайте энергетической компании около двух десятков ссылок, по каждой из которых скачивался самораспаковывающийся архив. Он содержал в себе исходный документ, а также один и тот же исполняемый файл — новое вредоносное ПО.

Сложность атаки указывает на то, что она была нацелена на посетителей сайта конкретной организации и была тщательно подготовлена. Червь мог искать и отправлять на сервер злоумышленников файлы из пользовательских папок Desktop, Documents, Photos, Downloads и с внешних носителей, содержащие в тексте подстроки «секрет», «служебн», «парол» и другие ключевые слова — это является признаком целевой атаки. Также могли скачиваться файлы со сведениями о защите системы, действиях пользователя и его учетных данных. Кроме того, зловред мог делать скриншоты экрана.

Из веб-браузеров могли собираться файлы, содержащие сохраненные пароли, файлы cookie, закладки, история посещений, а также сведения для автозаполнения форм, включая данные о кредитных картах. Кроме того, червь мог мониторить подключенные USB-накопители. Это позволяло украсть потенциально интересные злоумышленникам файлы со съемных носителей и скопировать на них червь, чтобы заразить другие компьютеры.

Как защитить свои гаджеты

Чтобы обезопасить устройства, эксперты по безопасности рекомендовали придерживаться следующим принципам:

  • регулярно обновляйте программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
  • используйте комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности;
  • предоставляйте сотрудникам отдела кибербезопасности доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников;
  • регулярно создавайте резервные копии важных данных, чтобы обеспечить сохранность корпоративной информации в случае чрезвычайных ситуаций.

Ранее МТС представил новую услугу, которая позволяет узнать об утечке личных данные в сеть. Подробнее с работой новой функции можете ознакомиться в другом материале Hi-Tech Mail.