Бесплатно Экспресс-аудит сайта:

08.08.2024

CMoon: вирус, созданный для шпионажа в энергетическом секторе России

В конце июля специалисты «Лаборатории Касперского» обнаружили новый вид вредоносного ПО, который распространялся через веб-сайт одной из российских энергетических компаний. Вредоносная программа получила название CMoon. Злоумышленники заменили ссылки на нормативные документы в нескольких разделах сайта на те, что вели к скачиванию вредоносных исполняемых файлов. Этот вирус способен красть конфиденциальные данные, запускать DDoS-атаки и распространяться на другие устройства.

Аналитики компании выяснили, что на сайте было подменено около двух десятков ссылок, каждая из которых вела к самораспаковывающемуся архиву. Внутри архива находился исходный документ и исполняемый файл — новое вредоносное ПО CMoon, названное так за строки в коде файла.

Атака была тщательно подготовлена и направлена на конкретных посетителей сайта организации. Червь CMoon мог искать и отправлять на сервер злоумышленников файлы из пользовательских папок Desktop, Documents, Photos, Downloads и внешних носителей, если в тексте содержались ключевые слова, такие как «секрет», «служебн», «парол» и другие. Это указывает на целевую атаку. Также могли скачиваться файлы с информацией о защите системы, действиях пользователя и его учетных данных. Вредоносное ПО также могло делать скриншоты экрана.

Из веб-браузеров вирус мог собирать файлы с сохраненными паролями, cookies, закладками, историей посещений и данными для автозаполнения форм, включая информацию о кредитных картах. CMoon также мог мониторить подключенные USB-накопители, что позволяло красть потенциально интересные файлы и заражать другие компьютеры, к которым эти накопители могли быть подключены.

После обнаружения заражения «Лаборатория Касперского» немедленно сообщила об этом владельцам ресурса, и вредоносные файлы были удалены. Специалисты подчеркнули, что атака была направлена на подрядчиков и партнеров организации.

По словам специалистов «Лаборатории Касперского», с угрозой столкнулось незначительное количество пользователей. Однако важно, чтобы организации учли новые техники атак в своей политике безопасности, чтобы минимизировать риски.