Эксперты по безопасности выявили кибератаку DEEP#GOSU, направленную на пользователей Windows. Атака использует уникальное сочетание PowerShell и VBScript для внедрения в системы и изъятия данных.
Группа Kimsuky, поддерживаемая Северной Кореей, может быть связана с этими действиями, согласно исследованию Securonix. Малварь DEEP#GOSU спроектирована так, чтобы оставаться незамеченной, в частности, при мониторинге сетевого трафика.
Она обладает возможностями, такими как слежение за клавишами, анализ буфера обмена и динамическое исполнение кода. Вредонос достигает постоянства в системе через задачи планировщика и PowerShell скрипты.
Вирус попадает на компьютер через электронное письмо с вложенным архивом ZIP. В этом архиве находится файл, который выглядит как обычный PDF-документ, но на самом деле является поддельным. Когда пользователь открывает этот файл, он запускает скрытый скрипт PowerShell. Этот скрипт, в свою очередь, подключается к сервису Dropbox, контролируемому злоумышленниками, и скачивает дополнительные вредоносные программы на зараженный компьютер.
На следующем этапе атаки вирус загружает специальный программный компонент под названием TruRat, который даёт хакерам дополнительные возможности контроля над компьютером. Также используется дополнительный скрипт для выполнения новых команд. Для удобства обновления и изменения настроек вируса злоумышленники используют Google Docs. Это позволяет им менять настройки вируса, не затрагивая его основной код.
В результате, DEEP#GOSU функционирует как скрытый бэкдор, позволяя злоумышленникам управлять системой и следить за действиями пользователя.
Важность этой угрозы подчеркивает необходимость актуальных мер безопасности и внимательности к подозрительным сообщениям.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.