Малварь под видом VPN-утилиты атакует пользователей на Ближнем Востоке

На Ближнем Востоке активизировалась новая угроза в виде малвари, которая скрывается под маской популярного VPN-приложения Global Protect от компании Palo Alto Networks. Специалисты по кибербезопасности из Trend Micro предупреждают, что эта вредоносная программа может серьезно повлиять на пользователей в этом регионе.

Суть атаки заключается в том, что злоумышленники создают фальшивую версию GlobalProtect и используют её для обмана жертв. Поскольку GlobalProtect часто используется в компаниях для обеспечения безопасного удаленного доступа, атака нацелена на крупные организации, использующие этот VPN-сервис.

Процесс заражения начинается с запуска файла под именем setup.exe. Этот файл устанавливает основной вредоносный компонент GlobalProtect.exe, который затем запускает «маячок» — сигнал для злоумышленников о том, что малварь активна.

Кроме того, в систему загружаются два файла конфигурации (RTime.conf и ApProcessId.conf), которые собирают важную информацию о системе жертвы. Это могут быть IP-адрес, данные об операционной системе, имя пользователя и другие системные данные. Вся собранная информация отправляется на сервер злоумышленников по адресу 94.131.108[.]78.

Чтобы скрыть свои действия, малварь использует AES-шифрование для защиты данных, передаваемых на управляющий сервер. Адрес этого сервера выглядит так, будто он относится к легитимному VPN-сервису в эмирате Шарджа в ОАЭ, что помогает избежать подозрений.

Основной вредоносный компонент может выполнять различные команды, такие как приостановка своей работы на время, запуск PowerShell-скриптов, чтение и запись данных, запуск новых процессов, загрузка файлов и их отправка на удаленные серверы. Это делает малварь особенно опасной и гибкой в своих действиях.