Про це повідомила дослідницька група підрозділу 42 мережі Palo Alto Networkвиявлення озброєних документів, що містять віддалені шаблони з вбудованим шкідливим макросом. Цей шкідливий троян під назвою Cannon походить від хакерської групи APT28, яка має тісні зв’язки з Кремлем, повідомляє ZDNet.
Те, що відрізняє Cannon від інших розгортань зловмисного програмного забезпечення, це його новий канал зв’язку C2 на основі електронної пошти. Однією з причин, чому хакери можуть використовувати цю стратегію розгортання, є уникнення виявлення, оскільки постачальники послуг електронної пошти не вважають цю активність підозрілою. Щоб спонукати людей виконувати вимоги, зловмисне програмне забезпечення використовує поточні події. Прямо зараз фішингове шахрайство передбачає отримання електронного листа про авіакатастрофу Lion. Електронний лист містить файл Microsoft Word під назвою Lion Air Boeing 737.docx із автором «Джон». Давайте зайдемо далі в кролячу нору. Якщо ви вирішите клацнути вкладення Microsoft Word, на екрані з’явиться повідомлення про те, що документ, який ви намагаєтеся переглянути, знаходиться в старій версії Microsoft Word, тому вам буде запропонованодозволити макроси для перегляду матеріалу.Якщо ви вмикаєте макроси, це канал коду, за допомогою якого зловмисне програмне забезпечення заражає ваш пристрій. Ще більше ускладнює той факт, що зловмисне програмне забезпечення не з’явиться на вашому пристрої, доки ви не закриєте Microsoft Word. ZDNet зазначає, що зловмисне програмне забезпечення Cannon використовує сервер команд і керування для видачі інструкцій шкідливому програмному забезпеченню. Однією з торгових марок зловмисного програмного забезпечення є створення скріншотів зараженого пристрою кожні 10 секунд. Він також записує всю інформацію про систему кожні п’ять хвилин. Зловмисне програмне забезпечення надсилає електронною поштою знімки екрана та системну інформацію на один із трьох облікових записів, якими керує сервер Чеської Республіки, повідомляє ZDNet. Зловмисне програмне забезпечення націлене на користувачів у Європі та Сполучених Штатах, привертаючи пильну увагу до державних установ. Як ви можете собі уявити, завдяки здатності зловмисного програмного забезпечення зчитувати повну системну інформацію та реєструвати активність кожні 10 секунд, якщо хакерам вдасться зламати систему, у них під рукою буде скарбниця даних.
Ілюстрація Lynda.com
Читайте також:Що таке зловмисне програмне забезпечення та як захиститися від атак зловмисного програмного забезпечення?
Поради щодо запобігання зараженню зловмисним програмним забезпеченням
Незважаючи на ефективність, ви можете уникнути завантаження шкідливого програмного забезпечення Cannon. Найпростіший спосіб уникнути їхнього захоплення — утриматися від відкриття вкладених файлів електронної пошти. Незважаючи на те, що матеріал привабливий, оскільки матеріал ще свіжий, важливо зупинитися й подумати, чому хтось надсилає вам вкладення, коли в Інтернеті є достатньо матеріалу, який ви можете прочитати на веб-сайтах новин. По-друге, багато фішингових шахрайств електронною поштою мають виразні ознаки. Часто це пов’язано з орфографічними та граматичними помилками в повідомленні. Ви також можете використати це як можливість дослідити електронну пошту, перш ніж натиснути посилання. У рамках цього вивчіть адресу відправника. Якщо це хтось, кого ви не знаєте, краще утриматися від натискання вкладення. І щоб бути в безпеці, якщо хтось із ваших знайомих надішле вам вкладення електронною поштою, зв’яжіться з ним заздалегідь, щоб переконатися, що він це зробив. Після встановлення будь-яке зловмисне програмне забезпечення може зробити ваші файли недоступними. Якщо це станеться, вам потрібна команда експертів із відновлення, які допоможуть вам відновити дані. Наші співробітники SALVAGEDATA вміють своєчасно відновлювати файли з пристроїв, заражених шкідливим програмним забезпеченням. Зв’яжіться з нашими співробітниками сьогодні, щоб отримати безкоштовну пропозицію.
