Компания ESET — лидер в области проактивного обнаружения — предупреждает о новой волне фишинг-атак группы кибершпионов Sednit. В частности, киберпреступники отправляют вредоносные письма с документами-приманками, после открытия которых на устройство жертвы загружается шпионский инструмент Seduploader. На этот раз злоумышленники заманивают пользователей просматривать вложения с помощью файла с названием «Атака Трампа на Сирию».
Для загрузки компонента Seduploader группа Sednit использует два 0-дневные эксплойта. С помощью уязвимости CVE-2017-0261 злоумышленники могут удаленно запускать код в Microsoft Word, тогда как CVE-2017-0263 используется для повышения локальных привилегий в Windows. Специалисты ESET сообщили об обеих уязвимости компании Microsoft, которая сегодня выпустила соответствующие обновления.
«Группа Sednit на этом не остановится, — комментируют специалисты ESET. — За последние несколько месяцев киберпреступники усовершенствовали Seduploader, одновременно продолжая применять свои старые приемы, такие как повторное использование кода или известные методы атак».
Занимаясь преступной деятельностью по меньшей мере с 2004 года, группа Sednit (также известная как APT28, Fancy Bear и Sofacy) осуществляет сложные атаки с целью похищения конфиденциальной информации в тщательно отобранных целей. В октябре 2016 специалисты ESET уже сообщали о фишинг-атаках, жертвами которых стали более 1000 политических деятелей и публичных лиц из разных стран мира.
В связи с возможной опасностью дальнейшего распространения угрозы специалисты ESET рекомендуют пользователям использовать надежные антивирусные решения и соблюдать основные правила безопасности для защиты от фишинг-атак.