Новый червь CMoon распространялся через сайт российской энергетической компании

«Лаборатория Касперского» обнаружила ранее неизвестное вредоносное программное обеспечение, которое распространялось через сайт одной из российских энергетических компаний. Оно получило название CMoon. 

Новый червь CMoon распространялся через сайт российской энергетической компании
Иллюстрация: «Лаборатория Касперского»

Злоумышленники подменили в нескольких разделах ресурса ссылки на скачивание нормативных документов на другие, ведущие на вредоносные исполняемые файлы. Сложность атаки указывает на то, что она была нацелена на посетителей сайта конкретной организации и была тщательно подготовлена. 

Червь мог искать и отправлять на сервер злоумышленников файлы из пользовательских папок Desktop, Documents, Photos, Downloads и с внешних носителей, содержащие в тексте подстроки «секрет», «служебн», «парол» и другие ключевые слова — это является признаком целевой атаки. Также могли скачиваться файлы со сведениями о защите системы, действиях пользователя и его учётных данных. Кроме того, зловред мог делать скриншоты экрана.

Из веб-браузеров могли собираться файлы, содержащие сохранённые пароли, файлы cookie, закладки, история посещений, а также сведения для автозаполнения форм, включая данные о кредитных картах.

Червь также мог мониторить подключённые USB-накопители. Это позволяло украсть потенциально интересные злоумышленникам файлы со съёмных носителей, а также скопировать на них червь и заразить другие компьютеры, к которым накопитель мог быть подключён.
 


Источник