Компания Malwarebytes, занимающаяся вопросами кибербезопасности, недавно предупредила о крайне изощренной фишинговой кампании. Злоумышленники маскируют свою вредоносную программу под обычный PDF-документ. Сотрудники привыкли получать заказы или счета в формате PDF, поэтому высока вероятность, что вредоносные файлы будут открыты.
Если сотрудник нажимает на файл, запускается троян удаленного доступа под названием AsyncRAT. Таким образом злоумышленники могут получить контроль над корпоративными компьютерами.
Однако фишинговые электронные письма содержат не прямые вложения документов, а ссылки на файл в IPFS (InterPlanetary File System). Это децентрализованная сеть хранения данных, которая все чаще используется киберпреступниками. Доступ осуществляется через обычные веб-шлюзы.
Файл злоумышленников представляет собой виртуальный диск, который при открытии монтируется как локальный диск и таким образом обходит некоторые функции безопасности Windows. Внутри файла находится файл скрипта Windows (WSF), который имитирует ожидаемый PDF-файл. При открытии Windows выполняет содержащийся в нем код, что и позволяет осуществить внешний взлом.
Для защиты от подобных атак организации должны настроить Windows так, чтобы отображались расширения файлов, советует Malwarebytes Labs в своем блоге. (jm)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Maxwell Cooter
