Нову активність вже відомої групи кіберзлочинців Winnti зафіксували фахівці з кібербезпеки. Цього разу ціллю зловмисників стали університети Гонконгу.

Про це йдеться у повідомленні антивірусної компанії ESET.

У листопаді 2019 року система машинного навчання ESET зафіксувала унікальний шкідливий зразок на комп’ютерах двох вищих навчальних закладів Гонконгу. Крім підтверджених випадків інфікування, фахівці виявили ознаки компрометації ще щонайменше як трьох університетів.

Відповідно до результатів попередніх досліджень цілеспрямованих атак групи Winnti на геймерів та розробників відеоігор стало відомо, що зловмисники використовували бекдор ShadowPad. Тоді як у атаках на гонконгські університети бекдор ShadowPad було замінено на нову та простішу версію, яку продукти ESET виявляють як Win32/Shadowpad.C.

“Зразки бекдора ShadowPad та шкідливого програмного забезпечення Winnti, зафіксовані в цих університетах у листопаді 2019 року, містять ідентифікатори кампанії та URL-адреси командного сервера (C&C) відповідно до назв вищих навчальних закладів, що свідчить про цілеспрямовану атаку”, — коментують дослідники ESET.

Можливою ціллю зловмисників було викрадення конфіденційних даних з пристроїв жертв. Варто зазначити, що атаки групи Winnti відбувалися під час місцевих протестів в Гонконгу, включаючи території університетів.

“ShadowPad — це багатомодульний бекдор, і за замовчуванням кожне натискання клавіш користувачами записується за допомогою спеціального модуля. Використання цього модуля вказує на те, що зловмисники націлені на викрадення інформації з пристроїв жертв. Варто зазначити, що відповідно до попередніх досліджень діяльності кіберзлочинців цей модуль навіть не був вбудований у бекдор”, — коментують дослідники ESET.

До речі, шкідник-вимагач FTCODE знову проявив активність, але тепер він ще й має нові можливості крадіжки інформації, орієнтовані на браузери та сервіси електронної пошти.

Зверніть увагу, дослідники Google виявили у браузері Apple Safari численні уразливості, що дозволяли стежити за активністю користувачів в Інтернеті.

Цікаво, що поки не вийшло офіційне виправлення від Microsoft, на платформі 0patch став доступний тимчасовий мікропатч для уразливості, яку активно зараз експлуатують, – CVE-2020-0674 з віддаленого виконання коду в браузері Internet Explorer 11.

Також Apple передумала давати користувачам iPhone можливість шифрувати дані, які зберігаються в iCloud.

Окрім цього, фахівці представили зразок здирницького програмного забезпечення, яке шифрує файли за допомогою компонента Windows.

Мобільний телефон генерального директора Amazon Джеффа Безоса зламали за допомогою шкідливого відео, відправленого через повідомлення в месенджері WhatsApp.