Исследователи обнаружили новую сложную схему кибератаки на российские организации. В мае-июне пострадали около 30 компаний. Атака начиналась с поддельных писем от официальных ведомств и заканчивалась установкой неизвестного трояна с удаленным доступом.
Первый этап включал рассылку PDF-файлов с размытым содержанием, побуждающих пользователя нажать кнопку для проверки CAPTCHA. Это перенаправляло на поддельный сайт, где происходила еще одна проверка, в момент которой вредоносный код попадал в буфер обмена.
Заражение продолжалось вручную: жертву заставляли выполнять простые, на первый взгляд, действия, которые запускали вредоносную цепочку. Использовалась редко применяемая техника ClickFix, требующая взаимодействия пользователя.
Затем загружалось изображение в формате PNG, служившее контейнером для сложного загрузчика, включавшего как безвредные, так и скрытые компоненты, активировавшие новый троян, разработанный преступной группой.
Атака сочетала фишинг, элементы социальной инженерии и скрытую установку вредоносного ПО, что подчеркивает необходимость усиленной защиты даже от тривиальных писем.
