Експерти ESET виявили нову версію складного шкідливого програмного забезпечення Gelsevirine, яке належить групі кіберзлочинців Gelsemium. Серед цілей нової загрози – державні установи, релігійні організації, виробники електроніки та університети Східної Азії та Близького Сходу.
До цього часу Gelsemium здебільшого вдавалося уникати виявлення. Діяльність групи була помічена з середини 2020 року, хоча вона активна ще з 2014 року.
Можливості шкідливого програмного забезпечення вказують на те, що зловмисники займаються кібершпигунством. Зокрема група Gelsemium має багато адаптованих компонентів.
“Хоча ланцюг інфікування Gelsevirine може здатися на перший погляд простим, велика кількість конфігурацій, застосованих на кожному етапі, дозволяє змінювати під час атаки параметри остаточного компонента”, — пояснює дослідник ESET.
Цілеспрямований кібершпіонаж Gelsemium забезпечує широкі можливості для збору інформації.
Цілі групи Gelsemium.
Кіберзлочинці використовують три компоненти та систему плагінів, зокрема завантажувачі Gelsemine та Gelsenicine, а також основний плагін Gelsevirine, які забезпечують широкі можливості для збору інформації.
Дослідники, що Gelsemium причетна до атаки на компанію BigNox, яка відома як операція NightScout. Ця атака на ланцюг постачання була спрямована на компрометацію механізму оновлення NoxPlayer, емулятора Android для пристроїв Windows та Mac, який є частиною продуктової лінійки BigNox із понад 150 мільйонами користувачів у всьому світі.
Під час дослідження було виявлено деякі подібності між цією атакою та активністю групи Gelsemium. Зокрема жертви атаки на ланцюг постачання згодом були скомпрометовані Gelsemium. Крім цього, зафіксовано схожості певних версій шкідливого програмного забезпечення, які застосовувалися в обох атаках.
Детальне дослідження активності Gelsemium можна знайти за посиланням.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як виявити та чому краще не сперечатися з “тролями”? ПОРАДИ
Правила безпеки дітей в Інтернеті
Як захистити підлітків від інтернет-шахраїв? ПОРАДИ
До речі, Google планує ускладнити Android-додаткам відстеження користувачів. Компанія анонсувала зміни в те, як обробляються унікальні ідентифікатори пристроїв, що дозволяють відстежувати їх між додатками.
Також Apple має намір випустити оновлення для своїх пристроїв, після якого вони дозволять користувачам дізнаватися, яку саме інформацію про них збирають додатки.
Microsoft детально розповість про “наступне покоління Windows” на спеціальному заході, який відбудеться в кінці цього місяця. Компанія почала розсилку запрошень на захід, який буде повністю присвячено програмній платформі Windows і почнеться о 18:00 (за київським часом) 24 червня.
Окрім цього, зловмисники поширюють шкідливе ПЗ під виглядом популярних Android-додатків від відомих компаній. Підроблений плеєр VLC, антивірус Касперського, а також підроблені додатки FedEx і DHL встановлюють на пристроях жертв банківські трояни Teabot або Flubot, вперше виявлені раніше в цьому році.