Ferralabs Профессионально о компьютерах
ESET обнаружила кибератаку на украинские финансовые компании. Хакеры управляют вредоносным ПО через Telegram и оставляют на зараженных компьютерах отсылки к сериалу «Мистер Робот».
На почту к «жертве» приходит письмо с файлом Excel, которое содержит вредоносный макрос. Он в свою очередь запускает загрузку с удаленного сервера программы — бэкдор Python/TeleBot. Программа общается с хакером при помощи Telegram. Каждая программа имеет свой аккаунт в мессенджере. При помощи Telegram хакер может отправлять различные команды.
TeleBot «общается» с атакующими при помощи Telegram. У каждого образца бэкдора есть свой аккаунт в мессенджере. Хакеры отправляют бэкдору команды, которые позволяют перебрасывать в чат файлы, сообщать информацию о компьютере и многое другое.
Помимо файлов взломщики могут собирать сохраненные пароль к четным записям. Вредоносный инструмент BCS-server открывает доступ к внутренней сети организации. Он позволяет атакующим взаимодействовать с внутренними серверами и открывает доступ к незараженным (пока) компьютерам. Инструкция к BCS-server написана на русском.
На финальном этапе атаки используется деструктивный компонент KillDisk. Программа удаляет важные системные файлы, после чего компьютер перестает загружаться, а также переписывает файлы некоторых типов. Изученные в ESET образцы «знали», в частности, форматы .doc, .docx, .xls, .xlsx, .zip, .rar и др.
