26/09/19
Предположительно поддерживаемые правительством киберпреступники из Ирана атаковали американских ветеранов вредоносным ПО с помощью поддельного web-сайта. По словам исследователей из команды Cisco Talos, вредоносную кампанию организовала группировка Tortoiseshell.
Киберпреступная группировка, которую компания Symantec ранее назвала Tortoiseshell, создала web-сайт ( hxxp://hiremilitaryheroes[.]сom), предоставляющий помощь военным ветеранам США в поисках работы. Сайт предлагает загрузить поддельное приложение для получения доступа к предложениям о работе. Вместо этого приложение только устанавливает вредоносные программы на пользовательских системах и показывает сообщение о неудачной установке.
Вредоносная программа собирает и отправляет злоумышленникам данные, которые включают в себя информацию о системе, аппаратном обеспечении, версиях обновлений, конфигурациях сети, версиях прошивки, контроллере домена, имени администратора, списках учетных записей, дате, времени, драйверах и пр.
Помимо сбора данных, вредоносное ПО также устанавливает инструмент для удаленного доступа (RAT), который может предоставить злоумышленникам доступ к зараженной системе. Компонент RAT может запускать файлы, загруженные из интернета, выполнять shell-команды и, при необходимости, удалять себя с компьютера хоста.
