Вредоносная кампания была обнаружена в ходе обширного расследования специалистов Trend Micro в отношении киберпреступной группы Confucius.
https://www.securitylab.ru/upload/ib...6024a02dc7.jpg
Специалисты ИБ-компании Trend Micro сообщили о том, что тема коммерческого шпионского ПО Pegasus от израильского производителя NSO Group используется киберпреступниками в фишинговых кампаниях. По словам специалистов, недавно киберпреступная группировка Confucius проводила фишинговую кампанию, нацеленную на пакистанских военных. Вредоносная кампания была обнаружена в ходе более обширного расследования специалистов Trend Micro в отношении Confucius.
Атака осуществляется в два этапа. Сначала жертва получает фишинговое письмо без вредоносного вложения. Письмо содержит новостную статью, скопированную из легитимного пакистанского издания, а адрес отправителя подделан под адрес PR-отдела Вооруженных сил Пакистана.
Через два дня жертва получает второе письмо, замаскированное под предупреждение пакистанских ВС о шпионском ПО Pegasus. В этом письме уже есть ссылка на зашифрованный вредоносный документ Word. Жертва также получает пароль для расшифровки. Адрес отправителя тот же, что и в первом письме.
Если жертва нажимает на указанную в письме вредоносную ссылку или на ссылку «отписаться», на систему загружается вредоносный документ Word. После введения пароля для расшифровки на экране отображается документ с макросами. Когда жертва активирует макросы, на систему загружается вредоносный код.
Финальной полезной нагрузкой является DLL-файл .NET, созданный для похищения документов и изображений и проверяющий папки «Документы», «Загрузки», «Рабочий стол» и «Изображения» каждого пользователя.