Компания ESET — лидер в области проактивного обнаружения — предупреждает о распространении группой кибершпионов Turla новой угрозы, нацеленной на политические организации в Восточной Европе. По данным специалистов ESET, злоумышленники вводят в заблуждение пользователей для установки вредоносной программы с фальшивого сайта Adobe, целью которой является похищение конфиденциальной информации.
Ранее группа кибершпионов Turla уже использовала нелегитимные инсталляторы приложения Flash для распространения одного из бэкдоров. Однако загрузка угрозы c официальных ссылок и IP-адресов Adobe была зафиксирована впервые. При этом, по данным исследователей ESET, вредоносное программное обеспечение Turla не осуществляет заражение легитимных обновлений Flash Player, а также не использует уязвимости в продуктах Adobe.
Детальное исследование ESET показало, что фальшивые инсталляторы Flash выполняют запрос «GET» для получения конфиденциальной информации с недавно зараженных систем. По данным телеметрии ESET, инсталляторы Turla перехватывают информацию, которая поступает на get.adobe.com, по меньшей мере с июля 2016 года. Использование легитимных доменов для похищения данных затрудняет обнаружение угрозы в сетевом трафике, позволяя группе кибершпионов Turla скрывать вредоносную деятельность в системе.
«Операторы Turla используют много способов введения в заблуждение пользователей для загрузки на первый взгляд безопасного программного обеспечения. Поскольку ссылки и IP-адреса имитируют официальную инфраструктуру Adobe, даже опытные пользователи могут потерять бдительность во время загрузки вредоносного файла якобы с Adobe.com», — рассказывают специалисты вирусной лаборатории ESET.
После загрузки и запуска фальшивого инсталлятора приложения Flash на компьютер жертвы загружается один из нескольких бэкдоров, который похищает конфиденциальные данные пользователя, такие как уникальный идентификатор компьютера, имя пользователя и список установленных на устройстве антивирусных продуктов. На последнем этапе угроза загружает и запускает легитимное приложение Flash Player.
Напомним, группа кибершпионов Turla известна своими атаками на правительственные учреждения, должностных лиц и дипломатов по меньшей мере с 2007 года. Причастность данной группировки к последним заражениям подтверждает то, что некоторые фальшивые инсталляторы Flash загружают бэкдор Mosquito, который ранее применялся именно злоумышленниками Turla. Кроме этого, некоторые командные серверы (C&C) используют IP-адрес SATCOM, также связанный с группой Turla.
Поскольку все выявленные загрузки были осуществлены через HTTP, специалисты ESET рекомендуют корпоративным пользователям запретить загрузку исполняемых файлов через незашифрованное соединение. Такие действия значительно усложнят киберпреступникам перехват и изменение зашифрованного трафика между компьютером и удаленным сервером. Кроме этого, проверка подписи файла сможет выявить подозрительные загрузки, поскольку во вредоносных файлах отсутствует подпись в отличие от инсталляторов Adobe. Также напоминаем о необходимости установления на компьютерах пользователей надежного антивирусного решения, которое сможет выявлять подозрительные файлы и предупреждать пользователей об опасности.