23/07/21
Специалисты японской ИБ-компании Mitsui Bussan Secure Directions (MBSD) сообщили о новой вредоносной программе, использующей тему Олимпийских игр, и способной удалять файлы на зараженных компьютерах.
Вредоносное ПО было обнаружено за три дня до церемонии открытия Летних Олимпийских игр в Токио, запланированной на 23 июля, и, судя по всему, вайпер предназначен для атак на устройства в Японии.
Вредонос удаляет только определенные типы файлов на инфицированном устройстве - те, что находятся в папке C:/Users/<username>/, например, документы Microsoft Office, а также файлы в формате PDF, CSV, XLS, XLSX, XLSM, PPT, PPTX, PPTM, JTDC, JTTC, JTD, JTT, TXT, EXE, LOG. Кроме того, вайпер удаляет файлы, созданные с помощью японского текстового процессора Ichitaro.
Вредонос содержит ряд функций, усложняющих его детектирование и анализ, а также способен удалять себя после завершения процесса удаления файлов.
Эксперты заметили еще одну любопытную функцию – вайпер использует приложение cURL для доступа к сайту «для взрослых» XVideos в момент, когда происходит удаление файлов. Этот маневр призван обмануть исследователей и заставить их поверить, что заражение произошло при посещении порно-сайта.
На самом деле вредонос содержался в файле Windows EXE, замаскированном под PDF-документ якобы содержащий сведения об ущербе от кибератак, связанных с Олимпийскими играми.
«Поскольку вредоносное ПО замаскировано с помощью иконки PDF и атакует только данные в папке Users, предполагается, что вредонос предназначен для заражения пользователей, не имеющих прав администратора», - отметили специалисты.
По их словам, образец вредоноса был загружен 20 июля на VirusTotal с IP-адреса во Франции.
На этой неделе Федеральное бюро расследований США разослало американским компаниям предупреждение о возможных кибератаках на цифровую инфраструктуру Олимпийских игр в Токио.
