Финансовые отделы предприятий под прицелом нового трояна и бэкдора

Компания ESET сообщила, что ее специалисты обнаружили два вредоносных инструмента, которые используются для атак на финансовые отделы предприятий. Вредоносная кампания продолжается еще с 2016 года и направлена на пользователей Сербии, Хорватии, Черногории, Боснии и Герцеговины.

 

Как способ распространения угроз киберпреступники используют электронные письма со ссылками на опасный файл. «Поскольку ссылки и файлы-приманки PDF в электронных письмах связаны с темой налогов, злоумышленники, вероятно, нацелены на бухгалтеров в организациях региона», — рассказывают исследователи ESET.

 

Киберпреступники используют два вредоносных инструменты — бэкдор BalkanDoor и троян удаленного доступа BalkanRAT. На устройстве жертвы, как правило, развернуты оба инструмента, каждый из которых способен полностью контролировать зараженную машину.

 

Файлы-приманки могут содержать вредоносные программы типа троян или бэкдор – исследование ESET.

 

Это нетипичное сочетание двух инструментов дает возможность злоумышленникам выбрать наиболее подходящий метод контроля компьютера пользователя. Бэкдор позволяет хакерам удаленно управлять зараженным устройством вручную через графический интерфейс. А с помощью трояна киберпреступники могут управлять компьютером с помощью командной строки.

 

Особенностью бэкдора BalkanDoor является способность разблокировать экран пользователя без паролей. Также новые образцы бэкдора используют уязвимость WinRAR ACE, которая позволяет выполнять и устанавливать угрозы даже без запуска жертвой ни одного файла.

 

Тогда как троян BalkanRAT использует легитимное коммерческое программное обеспечение для удаленного управления рабочим столом, что позволяет отслеживать деятельность пользователя и вручную управлять его компьютером. Троян также применяет дополнительный инструментарий и сценарии для скрытия своей деятельности на устройстве жертвы.