XDSpy атакует компании в России и Молдове через фишинговые кампании

01.08.2024

Компании в России и Молдове стали мишенями для кибершпионской группы XDSpy, которая осуществляет фишинговые атаки для внедрения вредоносного программного обеспечения. Отмечается, что кампания включает использование малвари DSDownloader, направленной на сбор конфиденциальной информации.

XDSpy, впервые выявленная белорусской командой CERT.BY в феврале 2020 года, занимается кражей информации у государственных агентств Восточной Европы и Балкан с 2011 года. Основным инструментом группы является вредоносное ПО XDDown, которое может устанавливать дополнительные плагины для сбора системной информации, мониторинга внешних дисков и эксфильтрации локальных файлов.

Также группа применяет технику DLL side-loading для запуска вредоносного DLL-файла, который в свою очередь инициирует загрузку DSDownloader. Этот загрузчик открывает фиктивный файл для отвлечения внимания, пока в тайне загружает следующую стадию малвари с удаленного сервера.