Компанія ESET — лідер в галузі інформаційної безпеки — повідомляє про виявлення двох шкідливих інструментів, які використовуються для атак на фінансові відділи підприємств. Шкідлива кампанія триває ще з 2016 року та спрямована на користувачів Сербії, Хорватії, Чорногорії, Боснії та Герцеговини.
Як спосіб розповсюдження загроз кіберзлочинці використовують електронні листи із посиланнями на небезпечний файл. «Оскільки посилання та файли-приманки PDF в електронних листах пов’язані з темою податків, зловмисники, ймовірно, націлені на бухгалтерів в організаціях регіону», — розповідають дослідники ESET.
Кіберзлочинці використовують два шкідливі інструменти — бекдор BalkanDoor та троян віддаленого доступу BalkanRAT. На пристрої жертви, зазвичай, розгорнуті обидва інструменти, кожен з яких здатний повністю контролювати інфіковану машину.
Новий троян і бекдор: можливості шкідливих програм
Це нетипове поєднання двох інструментів дає можливість зловмисникам вибрати найбільш відповідний метод контролю комп'ютера користувача. «Бекдор дозволяє хакерам віддалено управляти інфікованим пристроєм вручну через графічний інтерфейс. А за допомогою трояна кіберзлочинці можуть управляти комп’ютером за допомогою командного рядка», — пояснюють дослідники ESET.
Особливістю бекдора BalkanDoor є здатність розблокувати екран користувача без паролів. Також нові зразки бекдора використовують уразливість WinRAR ACE, яка дозволяє виконувати та встановлювати загрози навіть без запуску жертвою жодного файлу.
Тоді як троян BalkanRAT використовує легітимне комерційне програмне забезпечення для віддаленого управління робочим столом, що дозволяє відслідковувати діяльність користувача та вручну управляти його комп'ютером. Троян також застосовує додатковий інструментарій та сценарії для приховування власної діяльності на пристрої жертви.
Продукти ESET виявляють ці загрози як Win{32,64}/BalkanRAT та Win32/BalkanDoor. Детальнішу інформацію про шкідливі програми та індикатори компрометації можна знайти за посиланням.