Дослідники безпеки Cisco Talos виявили нову шкідливу кампанію, орієнтовану на користувачів пристроїв під керуванням операційних систем iOS та Windows
Дослідники безпеки Cisco Talos виявили нову шкідливу кампанію, орієнтовану на користувачів пристроїв під керуванням операційних систем iOS та Windows
Зловмисники розповсюджують шкідливі версії легітимних програм для стеження за користувачами та розкраданням даних.
Індійське хакерське угруповання проводить нову шкідливу кампанію, орієнтовану на користувачів пристроїв під керуванням операційних систем iOS та Windows. Про це повідомили дослідники безпеки із команди Cisco Talos.
Раніше цього місяця дослідники зафіксували шкідливу кампанію, під час якої експлуатувалася вразливість у службі управління мобільними пристроями (Mobile Device Management, MDM) для стеження за кількома користувачами iPhone з Індії.
Зловмисники активні щонайменше з серпня 2015 року та експлуатують уразливість у MDM для віддаленої установки шкідливих версій легітимних додатків (Telegram, WhatsApp та PrayTime) на цільові iPhone.
Модифіковані програми були розроблені для таємного стеження за користувачами iOS і можуть викрадати дані про їхнє розташування, SMS-повідомлення, контакти, фотографії та особисті повідомлення в месенджерах.
Під час розслідування фахівці виявили кілька шкідливих двійкових файлів, призначених для пристроїв під керуванням операційних систем Microsoft Windows, розміщених у інфраструктурі, що належить зловмисникам.
«Ми знаємо, що шкідливість для MDM і Windows було запущено на одному C&C-сервері в травні 2018 року. Деякі з серверів все ще запущені та працюють. Їхня конфігурація Apache дуже специфічна і ідеально відповідає налаштуванню Apache для шкідливих програм IPA», - заявили експерти.
Окрім цього, дослідники виявили деякі особливості, що дозволяють пов'язати цю кампанію з хакерським угрупуванням Bahamut, яке раніше атакувало користувачів Android-пристроїв за допомогою аналогічної техніки.
Окрім поширення модифікованих версій Telegram та WhatsApp, на C&C-сервері також виявлено модифіковані версії браузера Safari та програми для відеочату IMO.
За словами дослідників, шкідливий браузер Safari був попередньо налаштований для автоматичного розкрадання логінів та паролів користувачів на різних сервісах, оскільки Yahoo!, Rediff, Amazon, Google, Reddit, Baidu, ProtonMail, Zoho, Tutanota та ін.
>Наразі достеменно невідомо, хто саме стоїть за кампанією і які мотиви зловмисників, проте, зважаючи на все, атакуючі працюють з Індії та добре фінансуються.
