Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении двух вредоносных инструментов, которые используются для атак на финансовые отделы предприятий. Вредоносная кампания продолжается еще с 2016 года и направлена на пользователей Сербии, Хорватии, Черногории, Боснии и Герцеговины.
Как способ распространения угроз киберпреступники используют электронные письма со ссылками на опасный файл. «Поскольку ссылки и файлы-приманки PDF в электронных письмах связаны с темой налогов, злоумышленники, вероятно, нацелены на бухгалтеров в организациях региона», — рассказывают исследователи ESET.
Киберпреступники используют два вредоносных инструменты — бэкдор BalkanDoor и троян удаленного доступа BalkanRAT. На устройстве жертвы, как правило, развернуты оба инструмента, каждый из которых способен полностью контролировать зараженную машину.
Новый троян и бэкдор: возможности вредоносных программ
Это нетипичное сочетание двух инструментов дает возможность злоумышленникам выбрать наиболее подходящий метод контроля компьютера пользователя. «Бэкдор позволяет хакерам удаленно управлять зараженным устройством вручную через графический интерфейс. А с помощью трояна киберпреступники могут управлять компьютером с помощью командной строки», — объясняют исследователи ESET.
Особенностью бэкдора BalkanDoor является способность разблокировать экран пользователя без паролей. Также новые образцы бэкдора используют уязвимость WinRAR ACE, которая позволяет выполнять и устанавливать угрозы даже без запуска жертвой ни одного файла.
Тогда как троян BalkanRAT использует легитимное коммерческое программное обеспечение для удаленного управления рабочим столом, что позволяет отслеживать деятельность пользователя и вручную управлять его компьютером. Троян также применяет дополнительный инструментарий и сценарии для скрытия своей деятельности на устройстве жертвы.
Продукты ESET обнаруживают эти угрозы как Win{32,64}/BalkanRAT и Win32/BalkanDoor. Более подробную информацию о вредоносных программах и индикаторы компрометации можно найти по ссылке.