Посмотрел видео с митинга — отдал пароль хакерам. Будни иранского активиста
NewsMakerЦифровой капкан захлопывается в один клик.
ИБ-специалисты из компании Acronis зафиксировали новую кибершпионажную кампанию CRESCENTHARVEST, которая, по их оценке, направлена против сторонников продолжающихся протестов в Иране. Злоумышленники используют политическую повестку как приманку и распространяют вредоносное ПО для скрытого доступа к устройствам и кражи данных.
Активность началась 10 января. Атаки строятся вокруг заражённых файлов формата LNK , замаскированных под изображения и видеоролики с протестов. В архиве с такими файлами злоумышленники размещают реальные медиаматериалы и отчёт на фарси с описанием событий в «мятежных городах Ирана». Такая подача рассчитана на иранцев, поддерживающих протестное движение.
Пользователь получает RAR-архив, который якобы содержит материалы о протестах. Внутри находятся фото и видео, а также ярлыки с двойным расширением вроде «.jpg.lnk» или «.mp4.lnk». После запуска ярлык открывает безобидный файл, чтобы не вызвать подозрений, и одновременно через PowerShell загружает дополнительный ZIP-архив. В нём скрыт легитимный подписанный Google исполняемый файл «software_reporter_tool.exe» и несколько библиотек. Две из них злоумышленники подменяют, чтобы запустить собственный код через механизм подгрузки DLL .
Одна вредоносная библиотека извлекает и расшифровывает ключи шифрования Chrome, другая — собственно модуль CRESCENTHARVEST — обеспечивает удалённый доступ. Он собирает сведения о системе, учётных записях, установленных средствах защиты, крадёт пароли и cookies браузеров, историю посещений, данные Telegram Desktop, перехватывает нажатия клавиш и позволяет выполнять команды на устройстве. Для связи с сервером управления используется WinHTTP, что помогает маскировать трафик под обычную сетевую активность. Адрес управления зарегистрирован как servicelog-information.com.
ИБ-специалисты из компании Acronis зафиксировали новую кибершпионажную кампанию CRESCENTHARVEST, которая, по их оценке, направлена против сторонников продолжающихся протестов в Иране. Злоумышленники используют политическую повестку как приманку и распространяют вредоносное ПО для скрытого доступа к устройствам и кражи данных.
Активность началась 10 января. Атаки строятся вокруг заражённых файлов формата LNK , замаскированных под изображения и видеоролики с протестов. В архиве с такими файлами злоумышленники размещают реальные медиаматериалы и отчёт на фарси с описанием событий в «мятежных городах Ирана». Такая подача рассчитана на иранцев, поддерживающих протестное движение.
Пользователь получает RAR-архив, который якобы содержит материалы о протестах. Внутри находятся фото и видео, а также ярлыки с двойным расширением вроде «.jpg.lnk» или «.mp4.lnk». После запуска ярлык открывает безобидный файл, чтобы не вызвать подозрений, и одновременно через PowerShell загружает дополнительный ZIP-архив. В нём скрыт легитимный подписанный Google исполняемый файл «software_reporter_tool.exe» и несколько библиотек. Две из них злоумышленники подменяют, чтобы запустить собственный код через механизм подгрузки DLL .
Одна вредоносная библиотека извлекает и расшифровывает ключи шифрования Chrome, другая — собственно модуль CRESCENTHARVEST — обеспечивает удалённый доступ. Он собирает сведения о системе, учётных записях, установленных средствах защиты, крадёт пароли и cookies браузеров, историю посещений, данные Telegram Desktop, перехватывает нажатия клавиш и позволяет выполнять команды на устройстве. Для связи с сервером управления используется WinHTTP, что помогает маскировать трафик под обычную сетевую активность. Адрес управления зарегистрирован как servicelog-information.com.