Кампания началась с отправки вредоносных электронных писем с поддельного адреса, замаскированного под адрес ВОЗ.
https://www.securitylab.ru/upload/ib...b9c3a20c57.png
Команда специалистов Unit 42 компании Palo Alto Networks https://unit42.paloaltonetworks.com/...organizations/о новых кибератаках вымогателей, направленных на медицинские учреждения и организации во время пандемии коронавирусной инфекции (COVID-19).
Как сообщили эксперты, одними из жертв вымогателей стала канадская правительственная организация здравоохранения и канадский медицинский исследовательский университет. Атаки были зафиксированы в период с 24 по 26 марта и были инициированы в рамках фишинговых кампаний на тему коронавируса.
По словам исследователей, кампания началась с отправки вредоносных электронных писем с поддельного адреса, замаскированного под официальный адрес Всемирной организации здравоохранения. Преступники отправили письма ряду лиц, связанных с организацией здравоохранения и активно участвующих в борьбе с COVID-19.
Письма содержали документ формата RTF, который при открытии пытался загрузить вымогательское ПО на базе проекта с открытым исходным кодом EDA2, эксплуатируя уязвимость переполнения буфера (https://www.securitylab.ru/news/439530.php.html ) в элементах управления Microsoft ListView/TreeView ActiveX в библиотеке MSCOMCTL.OCX.
После выполнения двоичный файл вымогателя связывался с C&C-сервером для загрузки изображения, служащего основным уведомлением о заражении вымогателем, на устройство жертвы, а затем передавал сведения о хосте, чтобы создать кастомный ключ для шифрования файлов системы.