На сайте российской компании скрывался «киберчервь»

Эксперты «Лаборатории Касперского» обнаружили новый зловред CMoon, распространявшийся через веб-сайт российской энергетической компании. Рассказываем, как функционирует червь и чем он грозит пользователям сети.

В конце июля инструменты мониторинга «Лаборатория Касперского» заметили ранее неизвестное вредоносное программное обеспечение, которое распространялось через сайт одной из российских энергетических компаний. Оно получило название CMoon из-за соответствующих строк в коде вредоносного файла. Об этом рассказала пресс-служба «Лаборатории Касперского».

Злоумышленники действовали так: в нескольких разделах ресурса они подменили ссылки на скачивание нормативных документов на другие, ведущие на вредоносные исполняемые файлы. Зловред мог выгружать с зараженного устройства пользователя конфиденциальные и платежные данные, запускать DDoS-атаки на интернет-ресурсы, а также распространяться на другие устройства. Атака могла быть направлена на подрядчиков и партнеров организации.

Сообщается, что владельцам ресурса уже сообщили о зловреде. Сейчас вредоносные программы по ссылкам уже удалены.

Тем не менее за время работы вредоносного ПО злоумышленникам удалось подменить на сайте энергетической компании около двух десятков ссылок, по каждой из которых скачивался самораспаковывающийся архив. Он содержал в себе исходный документ, а также один и тот же исполняемый файл — новое вредоносное ПО.

Сложность атаки указывает на то, что она была нацелена на посетителей сайта конкретной организации и была тщательно подготовлена. Червь мог искать и отправлять на сервер злоумышленников файлы из пользовательских папок Desktop, Documents, Photos, Downloads и с внешних носителей, содержащие в тексте подстроки «секрет», «служебн», «парол» и другие ключевые слова — это является признаком целевой атаки. Также могли скачиваться файлы со сведениями о защите системы, действиях пользователя и его учетных данных. Кроме того, зловред мог делать скриншоты экрана.