Бесплатно Экспресс-аудит сайта:

24.07.2021

Обнаружен новый вайпер, эксплуатирующий тему Олимпийских игр

Специалисты японской ИБ-компании Mitsui Bussan Secure Directions (MBSD) сообщили о новой вредоносной программе, использующей тему Олимпийских игр, и способной удалять файлы на зараженных компьютерах.

Вредоносное ПО было обнаружено за три дня до церемонии открытия Летних Олимпийских игр в Токио, запланированной на 23 июля, и, судя по всему, вайпер предназначен для атак на устройства в Японии.

Вредонос удаляет только определенные типы файлов на инфицированном устройстве - те, что находятся в папке C:/Users/<username>/, например, документы Microsoft Office, а также файлы в формате PDF, CSV, XLS, XLSX, XLSM, PPT, PPTX, PPTM, JTDC, JTTC, JTD, JTT, TXT, EXE, LOG. Кроме того, вайпер удаляет файлы, созданные с помощью японского текстового процессора Ichitaro.

Вредонос содержит ряд функций, усложняющих его детектирование и анализ, а также способен удалять себя после завершения процесса удаления файлов.

Эксперты заметили еще одну любопытную функцию – вайпер использует приложение cURL для доступа к сайту «для взрослых» XVideos в момент, когда происходит удаление файлов. Этот маневр призван обмануть исследователей и заставить их поверить, что заражение произошло при посещении порно-сайта.

На самом деле вредонос содержался в файле Windows EXE, замаскированном под PDF-документ якобы содержащий сведения об ущербе от кибератак, связанных с Олимпийскими играми.

«Поскольку вредоносное ПО замаскировано с помощью иконки PDF и атакует только данные в папке Users, предполагается, что вредонос предназначен для заражения пользователей, не имеющих прав администратора», - отметили специалисты.

По их словам, образец вредоноса был загружен 20 июля на VirusTotal с IP-адреса во Франции.

На этой неделе Федеральное бюро расследований США разослало американским компаниям предупреждение о возможных кибератаках на цифровую инфраструктуру Олимпийских игр в Токио.