ForumTroll использует шпионское ПО Dante в целевых атаках на научные и медийные организации
Исследование, опубликованное специалистами по кибербезопасности из «Лаборатории Касперского», связывает операцию под названием ForumTroll с использованием коммерческого шпионского ПО Dante (известного ранее по продуктам Hacking Team / Memento Labs). Аналитики зафиксировали волну таргетированных фишинговых рассылок, направленных на СМИ, университеты и НИИ, и описали техническую цепочку доставки вредоносного ПО, включающую эксплойт нулевого дня.
Атаки начинались с тщательно подготовленных писем-приглашений на научный форум: ссылки были персонализированы и существовали очень короткое время. Жертва при переходе оказывалась на вредоносном сайте, где выполнялся «валидатор» на базе WebGPU: скрипт проверял, что страницу открыл реальный браузер, обменивался данными с сервером по ECDH и получал ключ AES-GCM для расшифровки следующего этапа. По задумке злоумышленников далее должен был сработать эксплойт для побега из песочницы Chrome, что и позволило бы запустить шпионский модуль.
Анализ артефактов показал сходство кода и инструментов с продуктами Memento Labs, включая ранее неизвестную сборку Dante, которую Kaspersky идентифицировал как компонент арсенала атакующих. Активность группы прослежена до 2022 года, а целями операций становились СМИ, университеты, научно-исследовательские центры, а также государственные и финансовые организации в России и Беларуси.
Вывод Kaspersky заключается в том, что злоумышленники используют сочетание таргетированного фишинга, продвинутых валидаторов и эксплойтов нулевого дня для доставки сложных шпионских загрузчиков. Организациям в зоне риска стоит уделять внимание обработке входящих приглашений и ссылок, своевременно обновлять браузеры и анализировать подозрительную сетевую активность, чтобы обнаружить этапы загрузки и дешифровки вредоносных модулей.
Теги:
похожие материалы
Украинские телефонные мошенники переключились с россиян на жителей Европы
Украинские колл-центры, занимавшиеся телефонным мошенничеством, начали смещать фокус с граждан России на жителей стран Европы и СНГ.
Мошенники начали подделывать голоса следователей с помощью ИИ
Следственное управление в Калининградской области предупредило о новой схеме дистанционных мошенничеств, в которой злоумышленники используют технологии искусственного интеллекта для подделки голосов и изображений публичных сотрудников Следственного комитета.
Respawn Entertainment предупредила о новой волне атак на игроков Apex Legends
Разработчики Apex Legends сообщили о зафиксированной волне кибератак, направленных на игроков и инфраструктуру онлайн-сервисов игры.
Виртуальные машины в облаке и резервное копирование в приоритете у петербургского бизнеса
Популярность облачных сервисов у компаний в Санкт-Петербурге и Ленинградской области стабильно росла в 2025 году.
ViPNet Prime получил сертификацию ФСБ России
Компания «ИнфоТеКС» информирует о получении сертификата ФСБ России на средство криптографической защиты информации ViPNet Prime Key Center из состава системы централизованного управления продуктами и решениями ИнфоТеКС ViPNet Prime.
Правительство России планирует усилить защиту граждан от кибермошенников новыми мерами
В российском правительстве обсуждаются дополнительные меры по усилению защиты населения от кибермошенничества.
Гарда в 3 раза увеличила скорость сканирования больших баз данных
Гарда выпустила крупное обновление системы маскирования данных «Гарда Data Masking».
В Telegram начали использовать нестандартные proxy-ссылки для обхода блокировок и автоматизации
В Telegram появились сообщения о распространении нового типа deep-ссылок proxy, которые позволяют пользователям и скриптам обходить ограничения доступа к мессенджеру и автоматически подключаться через прокси-серверы.
В новогодние праздники киберпреступники усилили атаки на ключевые отрасли России
Компания RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, зафиксировала резкое увеличение доли высококритичных кибератак в период в период новогодних праздников.
«Лаборатория Касперского» расскажет школьникам на «Уроке цифры» про кибербезопасность в космосе
В этом учебном году «Урок цифры» от «Лаборатории Касперского» пройдёт в российских школах с 19 января по 8 февраля 2026 года.