Создан поддельный рекрутинговый сайт для атаки ветеранов с помощью вредоносного ПО

Недавно ветеранов США беспокоил поддельный веб-сайт, который маскируется под организацию, предлагающую им работу. К счастью, многие из них узнали о нем правду и поняли, что он был создан исключительно с целью распространения вредоносного ПО, дающего злоумышленникам полный контроль над компьютером жертвы.

По словам исследователей из Cisco Talos Group, организация называет себя Hire Military Heroes, или HMH. Когда ветераны посещают этот сайт, он убеждает их загрузить настольное приложение, рекламируемое для помощи в поиске работы.

Группа Cisco Talos Group подчеркнула, что создатели и злоумышленники, стоящие за этим веб-сайтом, являются черепаховыми панцирями. Это недавно идентифицированный злоумышленник, который нацелился на многие ИТ-компании, чтобы получить базу данных их клиентов.

Далее группа добавила: «Это всего лишь последние действия Tortoiseshell. Предыдущее исследование показало, что актер стоял за атакой на ИТ-провайдера в Саудовской Аравии. В этой кампании, которую отслеживал Talos, Tortoiseshell использовала тот же бэкдор, что и в прошлом, показывая, что они полагаются на некоторые из тех же тактик, методов и процедур (TTP)».

Как этот поддельный веб-сайт по найму ветеранов распространяет вредоносное ПО?

Очевидно, вредоносное ПО нацелено на ветеранов США. Таким образом, если они не разбираются в технологиях или совершенно не знают, что на этом поддельном веб-сайте по найму ветеранов есть вредоносное ПО, их быстро заманивают делать то, о чем их просят.

Вот как это работает. При посещении сайта им будет предложено загрузить программу для своего устройства. Для компьютеров с Windows вредоносное ПО поставляется в виде zip-файла, содержащего программу с именем win10.exe.

После запуска программы появится крошечный загрузочный экран, в котором говорится, что «Hire Military Heroes — это новый ресурс для найма вооруженных сил». Он пытается убедить жертв, что в настоящее время подключается к базе данных.

Правда в том, что пока отображается экран, вредоносное ПО уже загружает два других вредоносных объекта и сохраняет их на компьютере.

Позже на экране появится предупреждение: «Ваше решение для обеспечения безопасности разрывает соединения с нашими серверами». Поддельное предупреждение отображается только для того, чтобы программа выглядела безопасной и законной.

На данный момент два вредоносных объекта уже загружены и работают в фоновом режиме. Первая вредоносная программа предназначена для сбора информации о жертве и компьютере, а вторая выполняет все команды, данные злоумышленниками.

Как вредоносное ПО собирает информацию о пользователях?

Первый загружаемый объект вредоносного ПО будет выполнять в общей сложности 111 команд. Все они предназначены для сбора каждой крупицы информации о жертве и компьютере.

После выполнения команды отобразят список всех файлов, присутствующих на компьютере, информацию о диске, всех активных процессах, полезную информацию о сети, все общие сетевые ресурсы, данные брандмауэра, существующие учетные записи пользователей, настроенные на устройстве, и другие сведения. .

После сбора всей информации все будет сохранено в файл с именем %Темп%\si.cab. Затем он будет отправлен обратно злоумышленникам с использованием учетных данных электронной почты Gmail жертвы.

Как вредоносное ПО выполняет команды, отправленные злоумышленниками?

Как уже упоминалось, на компьютер жертвы загружаются два вредоносных объекта. Первый будет собирать информацию, а второй будет выполнять любую команду, отправленную злоумышленниками.

Вторая вредоносная сущность принимает форму троянца удаленного доступа. Он будет установлен как служба Windows и назван dllhost. Поскольку он настроен на автоматический запуск, он должен запускаться при каждом запуске Windows.

Активировавшись, троянец свяжется со своими создателями и управляющими серверами. Через эти серверы вредоносное ПО получает команды на загрузку файлов, завершение работы служб или даже выполнение других команд.

До сих пор неизвестно, как распространяется вредоносное ПО. Исследователи даже заявили, что «на момент публикации у нас не было используемого метода распространения, и у нас нет доказательств того, что он существует в дикой природе. Уровень сложности низкий, поскольку используемый двоичный файл .NET имеет слабые возможности OPSEC, такие как жестко запрограммированные учетные данные, но затем другие более продвинутые методы, делающие вредоносное ПО модульным и знающим, что жертва уже запускала его».

Они также добавили: «Существует вероятность того, что несколько команд из APT работали над несколькими элементами этого вредоносного ПО, поскольку мы можем видеть определенные уровни сложности существующих и различные уровни виктимологии».

Советы по предотвращению вредоносных программ

Если вы хотите защитить свои компьютеры от вредоносных объектов, вам следует принять превентивные меры. Вот несколько полезных советов, которые следует принять во внимание:

Совет № 1: Установите антивирусное программное обеспечение.

Это может показаться очевидным советом, но многие предпочитают его игнорировать. Да, возможно, ваш компьютер уже имеет встроенную защиту от вредоносных программ. Однако вы никогда не можете быть так уверены. Предлагаем вам установить доверенное стороннее программное обеспечение для защиты от вредоносных программ на вашем компьютере, чтобы поднять безопасность на новый уровень. После установки средства защиты от вредоносных программ ваш следующий план действий — убедиться, что ваша ОС обновлена.

Совет № 2: обновляйте операционную систему.

Независимо от того, используете ли вы macOS, Linux или Windows, ваша задача — всегда поддерживать ее в актуальном состоянии. Разработчики вашей ОС всегда работают над выпуском исправлений безопасности, направленных на исправление ошибок и проблем, о которых сообщалось ранее.

Совет № 3: Убедитесь, что ваша сеть безопасна.

Мы все используем наши компьютеры для подключения к принтерам, другим компьютерам и, конечно же, к Интернету. Чтобы убедиться, что все ваши соединения безопасны, необходимо использовать надежный пароль.

Также по возможности не транслируйте открытую сеть WiFi. Идеально использовать шифрование WPA или WPA2, так как WEP уже устарел. Всего за пару минут хакеры уже могут обойти шифрование WEP.

Также рекомендуется избегать трансляции вашего SSID или имени вашей сети Wi-Fi. Хотя это может означать, что вам придется вручную настроить сеть на вашем устройстве, это также предполагает более безопасную сеть.

Совет № 4: подумайте, прежде чем нажать.

Это еще один совет, который требует использования здравого смысла. Если вы не знаете отправителя электронного письма, не нажимайте ни на что. Сделайте привычкой сначала наводить курсор на ссылку, чтобы знать, куда она вас приведет. Кроме того, если вам нужно загрузить файл из Интернета, сначала отсканируйте его, прежде чем запускать.

Совет № 5: Избегайте подключения к открытым сетям Wi-Fi.

Когда вы находитесь в общественных местах, таких как библиотека, кафе или аэропорт, избегайте подключения к открытой сети Wi-Fi. Обязательно сделайте это, особенно если вы получаете доступ к банковским приложениям или строго конфиденциальным документам. Есть вероятность, что злоумышленники находятся в той же сети, терпеливо ожидая, когда их следующая жертва попадется на их удочку.

Совет № 6: сделайте резервную копию важных файлов.

В худшем случае лучшее, что вы можете сделать, это сделать резервную копию важных файлов. В идеале резервная копия должна храниться на отдельном устройстве хранения. Таким образом, когда придет время, вы больше не сможете открыть свой компьютер, вы сможете легко восстановить резервную копию и подготовить свои файлы и документы на другом устройстве.

Совет № 7: Действуйте.

Все советы и информация, представленные здесь, бесполезны, если вы ничего не делаете. Конечно, вы должны проявить инициативу и сделать все возможное, чтобы предотвратить атаки вредоносных программ. Если вы не установите программное обеспечение для защиты от вредоносных программ, наступит время, когда угрозы найдут способ нанести ущерб вашей системе.

Суть здесь в том, чтобы действовать. Простое сидение перед компьютером ничего не сделает против вредоносных объектов.

Резюме

Как они всегда говорят: «Если это слишком хорошо, чтобы быть правдой, то, вероятно, это не так». Подумай об этом. Вы должны зарабатывать рабочие места. Вы не можете легко получить его, просто загрузив программы или приложения. Если вы когда-нибудь найдете веб-сайт, на котором вам предлагается загрузить программу, которая поможет вам найти работу, немедленно закройте его. Да ладно, вы всегда можете найти достойную работу на многих легальных сайтах.

Быть умным. Не ведитесь на эти мошеннические приемы. Примите превентивные меры, чтобы хакеры не смогли украсть у вас важную информацию.

Сталкивались ли вы раньше с другими подобными вредоносными программами? Как вы с ними справлялись? Дайте нам знать об этом в комментариях.