Mr.Dark
Активный пользователь
- Регистрация
- 01.06.2025
- Сообщения
- 8 072
- Реакции
- 6 980
- Баллы
- 113
Санкт-Петербург /Абсолютъ ТВ / Новости / Специалисты компании Fortinet предупреждают о масштабной кампании по атакам на российских пользователей, использующих как RAT-трояны, так и шифровальщики. Злоумышленники эффективно используют уязвимости системы защиты Windows для её отключения.
Документ, который выглядит безобидно
Российские компании сталкиваются с регулярными атаками, в ходе которых злоумышленники пытаются внедрить в их сети удалённый троян Amnesia RAT и шифровальные программы. Об этом сообщает подразделение цифровой безопасности Fortinet — FortiGuard Labs.
По словам эксперта FortiGuard Кары Линь (Cara Lin), атака начинается с рассылки поддельных документов, которые выглядят совершенно безобидно. Эти документы и сопровождающие их скрипты служат для отвлечения внимания: пользователи переключаются на кажущиеся безобидными задачи и сообщения, в то время как в это время происходит вредоносное действие.
Как отмечает издание The Hacker News, текущая кампания выделяется на фоне других по нескольким причинам. Во-первых, различные компоненты вредоносного ПО размещаются на разных публичных сервисах: скрипты — на GitHub, а двоичные файлы — в Dropbox. Это усложняет процесс их удаления.
Кроме того, активно используется утилита defendnot, которая отключает Windows Defender, заставляя штатный антивирус системы считать, что в ней установлен другой антивирусный продукт. Эта утилита была разработана человеком, известным под ником Кes3n1n, который считается экспертом в области кибербезопасности.
Злоумышленники распространяют сжатые архивы, содержащие множество поддельных документов и вредоносный файл-ссылку LNK с двойным расширением.
При запуске этого файла выполняется команда PowerShell для загрузки с GitHub нового скрипта PowerShell, который действует как загрузчик первой очереди и подготавливает систему к скрытию любых следов вредоносной активности.
