Кіберзлочинці атакують державні установи та медіа-компанії через скомпрометовані вебсайти

Компанія Eset повідомляє про виявлення цілеспрямованих атак на сайти медіа-компаній, державних установ та інтернет-провайдерів. Зокрема цілі кіберзлочинців знаходяться у Європі, на Близькому Сході та в Південній Африці.

У цих атаках зловмисники компрометують сайти, які можуть відвідати потенційні цілі, для подальшого інфікування їхніх пристроїв. Деякі користувачі таких сайтів, ймовірно, стали жертвою атаки через експлойт в браузері. Однак ні екплойт, ні фінальний компонент виявити не вдалося.

Варто зазначити, що скомпрометовані вебсайти використовуються лише як початковий вектор інфікування зловмисниками своїх цілей.

Зокрема цілями кіберзлочинців стали сайти ЗМІ у Великій Британії, Ємені та Саудівській Аравії, а також вебресурси аерокосмічних та військово-технологічних компаній в Італії та Південній Африці.

«Зловмисники також створили фальшивий вебсайт "Всесвітнього медичного форуму MEDICA", який проходив у Німеччині. Найімовірніше, кіберзлочинці не змогли зламати офіційний сайт, тому створили підроблений, щоб вставити свій шкідливий код», – пояснює Матьє Фау, дослідник Eset.

Під час кампанії 2020 року шкідливе програмне забезпечення перевіряло операційну систему та браузер. Оскільки цей процес базувався на програмному забезпеченні для комп'ютерів, кампанія не була націлена на мобільні пристрої. Наступного разу зловмисники, щоб бути трохи непомітнішими, почали модифікувати скрипти, які вже були на скомпрометованих сайтах.

Існує велика ймовірність, що кіберзлочинці є клієнтами компанії Candiru, яка пропонує державним установам інструменти для кібершпигунства.

Активність цієї операції зменшилась наприкінці липня 2021 року невдовзі після повідомлень про діяльність Candiru в блогах Citizen Lab, Google та Microsoft. Ймовірно, кіберзлочинці беруть паузу, щоб удосконалити свої інструменти для уникнення виявлення.