Сотни корпоративных пользователей из России подверглись атакам в ночное время из-за хакерской группы Librarian Ghouls. Их вычислила «Лаборатория Касперского», отметив в разговоре с ТАСС, что кампания проводится с декабря 2024 года.
Узнайте больше в полной версии ➞Члены кампании активизируются в период с 01:00 до 05:00, их целями становятся работники производственных предприятий и технических вузов. Кроме того, раньше группировка была замечена за организацией сложных атак на выбранные цели в РФ и странах СНГ, в ее арсенале, как правило, есть легальное ПО.
Хакеры стремятся заполучить удаленный доступ к устройствам и выяснить учетные данные. В зараженные компьютеры они устанавливают майнер для нелегальной добычи криптовалюты. Кроме того исследователи считают, что группа создала фишинговые сайты, имитирующие российский почтовый сервис.
Схема начинается с рассылки фишинговых писем с вредоносными архивами, которые защищены паролем. Если их распаковать, содержимое перемещается в одну из папок на компьютере, что дает возможность удаленно управлять устройством. Вредоносное ПО активируется ночью, за четыре часа злоумышленники успевают собрать учетные данные и ключевые фразы криптовалютных кошельков.
«После передачи украденной информации группе вредонос стирает из компьютера жертвы файлы, созданные в ходе атаки, и загружает в зараженную систему майнер — а в конце удаляет себя с устройства», — заключили специалисты «Лаборатории Касперского».
Ранее россиян предупредили о рисках при использовании QR-кодов, которые мошенники начали все чаще использовать для кражи данных. Так, хакеры могут подменять коды в общественных местах.