Хакери атакують росіян шкідливим ПЗ, замаскованим під інструкцію з експлуатації дронів

Фахівці «Лабораторії Касперського», що співпрацюють з російськими окупантами над ПЗ для дронів, виявили нову серію цілеспрямованих кібератак, де хакери розсилають шкідливий файл, замаскований під документ з назвою «Застосування перспективного багатоцільового ешелонованого повітряного комплексу на базі БПЛА». Файл з розширенням .scr насправді є інсталятором, який одночасно відкриває PDF-документ на тему БПЛА та завантажує додаткове шкідливе ПЗ і утиліту для роботи з RAR-архівами.

Атака спрямована на викрадення офісних документів формату .doc і .docx, збережених на дисках C, D: і E, а також даних з теки «Telegram Desktoptdata», де зберігаються дані десктопної версії популярного месенджера. Зібрані архіви з інформацією надсилаються на пошту хакерів за допомогою консольної утиліти, вилученої з завантаженого архіву.

Крім того, хакери використовують утиліту Web Browser Pass View для викрадення паролів з браузерів та встановлюють легітимну програму для моніторингу активності користувача, яка перехоплює натискання клавіш, відстежує інтернет-активність, робить скриншоти та відправляє звіти кібер-фахівцям.

Експерти зазначають, що такі атаки не є новими та з’являються з 2019 року. Основні відмінності полягають у тематиці документа-приманки та назві шкідливого інсталятора. У 2024 році використовуються різноманітні назви, пов’язані з технічними та аналітичними документами, наприклад, «Проект ТТТ 26.2024−2.scr» та «аналітична довідка.pdf.scr».