5 августа 2019 2297

Опасные ребята. Хакерская группа Machete атакует пользователей

ESET изучила атаки киберпреступной группировки Machete на госструктуры Латинской Америки. Основная цель хакеров — кибершпионаж, при этом особое внимание уделяется поиску данных о дислокации военных объектов.

Весной 2019 года эксперты ESET зафиксировали более 50 зараженных компьютеров, которые регулярно связывались с C&C-сервером злоумышленников. Большинство атакованных компьютеров принадлежат вооруженным силам Венесуэлы. Под удар попали и другие госучреждения, включая полицейские и образовательные структуры.

Карта атак Machete

Эксперты ESET изучили новую версию набора вредоносных инструментов Machete. Злоумышленники регулярно модифицируют свое ПО и вносят изменения в механизмы распространения.

Способ заражения выглядит следующим образом: потенциальная жертва получает письмо со ссылкой или вложенным документом. При этом рассылка вредоносных сообщений носит точечный характер — письма получает ограниченное число лиц.


В качестве приманки выступают документы, хорошо известные в армейских кругах — например, радиограммы. Злоумышленники также используют профессиональный сленг, что заставляет получателей фишингового письма поверить в обман.


Пример документа-приманки

Атака начинается с запуска самораспаковывающегося файла и установки бэкдор-компонентов. Один из них представляет собой шпионский модуль, который копирует и шифрует документы, делает скриншоты экрана, определяет геолокацию, скачивает историю браузера и перехватывает введенный с клавиатуры текст.

Каждые десять минут украденные данные передаются на C&C-сервер.


«Операторы Machete используют эффективные методы фишинг-атаки. За время киберкампаний, нацеленных на латиноамериканские страны, они собрали достаточно информации и усовершенствовали свою тактику, чтобы успешно замаскировать фишинговые письма под рабочие коммуникации», — говорит исследователь ESET Матиас Поролли.


Киберпреступники из группировки Machete ведут деятельность как минимум с 2010 года. В ходе изучения набора инструментов для кибершпионажа эксперты ESET пришли к выводу, что группировка является испаноговорящей: исходные коды содержат ряд терминов на испанском языке.


Подробнее об угрозе и компонентах — в
блоге ESET.

Комментарии

1
Оставьте комментарий!
Алексей Малков 22 октября 2019 в 01:02 #
Чёт у меня замкнуло на словах "госструктуры Латинской Америки". Я думал, что Латинская Америка включает испаноязычные страны материковой Америки от Мексики на севере до Аргентины на юге, а также испаноязычные страны Карибского бассейна...
Судя по последним событиям, (на день написания коммента, а не данной новости), а также потому, что "письма получает ограниченное число лиц", и "В качестве приманки выступают документы, хорошо известные в армейских кругах — например, радиограммы. Злоумышленники также используют профессиональный сленг...", приходит только одна логичная мысль,- всё это игры спецслужб. Иначе зачем "Американские власти в понедельник продлили лицензию американской нефтегазовой компании..." в обход своих-же санкций? Чё-то знают видимо... Всё это ИМХО...
P.S. А название у хакерской группы прикольное! 14