15/04/20
Команда специалистов Unit 42 компании Palo Alto Networks сообщила о новых кибератаках вымогателей, направленных на медицинские учреждения и организации.
Как сообщили эксперты, одними из жертв вымогателей стала канадская правительственная организация здравоохранения и канадский медицинский исследовательский университет. Атаки были зафиксированы в период с 24 по 26 марта и были инициированы в рамках фишинговых кампаний на тему коронавируса.
По словам исследователей, кампания началась с отправки вредоносных электронных писем с поддельного адреса, замаскированного под официальный адрес Всемирной организации здравоохранения. Преступники отправили письма ряду лиц, связанных с организацией здравоохранения и активно участвующих в борьбе с COVID-19.
Письма содержали документ формата RTF, который при открытии пытался загрузить вымогательское ПО на базе проекта с открытым исходным кодом EDA2, эксплуатируя уязвимость переполнения буфера ( CVE-2012-0158 ) в элементах управления Microsoft ListView/TreeView ActiveX в библиотеке MSCOMCTL.OCX.
После выполнения двоичный файл вымогателя связывался с C&C-сервером для загрузки изображения, служащего основным уведомлением о заражении вымогателем, на устройство жертвы, а затем передавал сведения о хосте, чтобы создать кастомный ключ для шифрования файлов системы.
