По данным аналитиков из Check Point группа хакеров из Северной Кореи под названием Lazarus организовала ряд атак на российские компании. Чаще всего атакам подвергаются Южная Корея и Япония, поэтому инциденты в России удивили экспертов.
Предполагается, что ответственность на атаках лежит на подразделении Bluenoroff, которое является частью Lazarus. Именно Bluenoroff производит операции, целью которых является кража денег. Пока что неизвестно, какие именно компании стали жертвами мошенников, однако то, что они находятся в России, подтверждают их IP-адреса.
Чтобы заразить устройство, киберпреступники отправляют жертве файл, внутри которого содержится два документа. Один из них представлен в формате PDF и содержит «приманку», второй – это документ Word с макросами, содержащий вирус. Когда пользователь загружает на компьютер вредоносный файл, срабатывает скрипт VBS. После этого начинается загрузка CAB-документа. Однако хакеры несколько улучшили свою схему атаки, а потому иногда действия происходят по сокращённому сценарию, то есть макросы Word загружаются на устройство сами.
Ранее эксперты раскрыли новый способ распространения вируса-вымогателя GandCrab, который прятали за изображением Марио, а распространяли под видом квитанции об оплате.
