К обнаружению ПО привела аномальная активность в одной из российских компаний, которая была зафиксирована в августе. Первым выявленным пострадавшим стал пользователь этой организации. Сейчас их более 250 тысяч, из которых 200 тысяч распределены по России, Узбекистану, Белоруссии и Украине.
Большинство пострадавших — некорпоративные пользователи, скачивающие пиратское ПО. Жертвами стали и целые компании — государственные и образовательные учреждения, нефтегазовая, медицинская и строительная отрасли, ретейл и IT.
В Positive Technologies считают, что использованное ПО не является сложным для анализа. Изучив всего лишь одну атаку, компания уже получила информацию о более чем 250 тысяч жертв по всему миру. Но реальное количество жертв превышает эту цифру.
«И с ростом атак с использованием этого ВПО оно будет только увеличиваться», — предупредили специалисты.
Вредоносное ПО после установки ведет себя «достаточно шумно», комментирует руководитель отдела исследования киберугроз PT Expert Security Center Денис Кувшинов. Так, оно собирает информацию о компьютере жертвы, устанавливает программу для удаленного управления и майнер, архивирует содержимое пользовательской папки Telegram.
Основываясь на конкретно изученной атаке, за которой наблюдала компания, ПО отправляло собранную информацию с корпоративного ноутбука пользователя в телеграм-бот, который выступал как контрольный сервер.
