Експерти попередили про нові атаки з використанням шкідника PonyFinal

Експерти попередили про нові атаки з використанням шкідника PonyFinal

   ІБ-фахівці з Microsoft попередили компанії про нові кібератаки з використанням здирницького ПЗ PonyFinal. Перші атаки з використанням PonyFinal були зафіксовані в квітні нинішнього року в Індії, Ірані та США. Оператори шкідника також неодноразово атакували організації в сфері охорони здоров'я.

   Оператори PonyFinal ретельно готуються до атак — вони зламують корпоративні мережі і вручну встановлюють шкідливе ПЗ, а не автоматизують цей процес. Як відзначили фахівці з Microsoft, організаціям рекомендується звернути увагу на процес здійснення атаки, а не обмежуватися вивченням тільки шкідливого коду.

  За словами експертів, в більшості випадків оператори PonyFinal починають атаку зі злому облікового запису на сервері управління системами. Злочинці за допомогою брутфорса отримують доступ до облікових записів зі слабкими паролями. Отримавши доступ до сервера, вони активують скрипт Visual Basic, який запускає ПЗ для збору і розкрадання даних.

   В ході атаки зловмисники можуть застосувати підбір облікових даних для протоколу віддаленого робочого столу (Remote Desktop Protocol, RDP) і проексплуатувати уразливості в системах. У деяких випадках оператори PonyFinal таємно розміщували середу виконання Java Runtime Environment (JRE) для запуску шкідника PonyFinal, а іноді використовували вже встановленим JRE на комп'ютері жертви.

Здирницьке ПЗ поставляється через MSI-файл, який містить два пакетних файлу і корисне навантаження. UVNC_Install.bat створює заплановане завдання з ім'ям «Java Updater» і викликає RunTask.bat, який запускає корисне навантаження PonyFinal.JAR.

  Зашифровані PonyFinal файли мають формат .enc. В даний час не існує способів або інструментів для розшифровки даних.

21:33
RSS
Немає коментарів. Ваш буде першим!
Завантаження...
|