ESET объявила, что обнаружила новую активности по кибершпионажу в схеме крупного интернет-провайдера. Впервые данная активность была зафиксирована в сентябре 2017 года. На тот момент активно распространялась шпионская программа FinFisher (FinSpy), которая ранее продавалась правительственным структурам.
Уже 8 октября в одной из двух стран, где в распространении FinFisher подозревается интернет-провайдер, стартовала идентичная операция, использующая ту же самую необычную схему переадресации веб-браузеров.
Первое сходство – сценарий атаки. Пользователь, который пытается загрузить легитимное ПО, перенаправляется на поддельный сайт, с которого загружается зараженная StrongPity2 версия нужной программы.
В Win32/StrongPity2 предусмотрена возможность кражи файлов, под прицелом документы с расширениями .ppt, .pptx, .xls, .xlsx, .txt, .doc, .docx, .pdf, .rtf.