Дослідження ESET: кіберзлочинці атакують державні та новинні сайти

Компанія ESET ― лідер у галузі інформаційної безпеки ― повідомляє про виявлення цілеспрямованих атак на сайти медіа-компаній, державних установ та Інтернет-провайдерів. Зокрема цілі кіберзлочинців знаходяться у Європі, на Близькому Сході та в Південній Африці.

У цих атаках зловмисники компрометують сайти, які можуть відвідати потенційні цілі, для подальшого інфікування їхніх пристроїв. Деякі користувачі таких сайтів, ймовірно, стали жертвою атаки через експлойт в браузері. Однак ні екплойт, ні фінальний компонент виявити не вдалося.

Варто зазначити, що скомпрометовані вебсайти використовуються лише як початковий вектор інфікування зловмисниками своїх цілей.

Скомпрометовані вебсайти використовуються як початковий вектор інфікування. ESET.

Зокрема цілями кіберзлочинців стали сайти ЗМІ у Великій Британії, Ємені та Саудівській Аравії, а також вебресурси аерокосмічних та військово-технологічних компаній в Італії та Південній Африці.

«Зловмисники також створили фальшивий вебсайт Всесвітнього медичного форуму MEDICA, який проходив у Німеччині. Найімовірніше, кіберзлочинці не змогли зламати офіційний сайт, тому створили підроблений, щоб вставити свій шкідливий код», – пояснює Матьє Фау, дослідник ESET.

Під час кампанії 2020 року шкідливе програмне забезпечення перевіряло операційну систему та браузер. Оскільки цей процес базувався на програмному забезпеченні для комп'ютерів, кампанія не була націлена на мобільні пристрої. Наступного разу зловмисники, щоб бути трохи непомітнішими, почали модифікувати скрипти, які вже були на скомпрометованих сайтах.

Існує велика ймовірність, що кіберзлочинці є клієнтами компанії Candiru, яка пропонує державним установам інструменти для кібершпигунства.

 «У блозі Citizen Lab про Candiru у розділі «ASaudi-LinkedCluster?» згадується фішинговий документ, завантажений на VirusTotal, та кілька доменів, якими керують зловмисники. Доменні імена є варіаціями справжніх сайтів для скорочення URL-адрес та вебаналітики. Та ж сама техніка використовується зловмисниками для доменів у виявлених атаках», – пояснює дослідник ESET.

Активність цієї операції зменшилась наприкінці липня 2021 року невдовзі після повідомлень про діяльність Candiru в блогах Citizen Lab, Google та Microsoft. Ймовірно, кіберзлочинці беруть паузу, щоб удосконалити свої інструменти для уникнення виявлення.

Більш детальна інформація про ці атаки доступна за посиланням.

 

Читайте також:

Шкідливий чи безпечний сайт: як перевірити та на що звертати увагу

Від спам-повідомлень до торентів – 7 найпоширеніших способів інфікування пристроїв

Рейтинг Інтернет-загроз: найактивніші шкідливі програми у 2021