SapphireStealer besurran: Megtévesztő jogi dokumentumok csalják lépre az oroszokat

A Cyble Research and Intelligence Labs (CRIL) egy végrehajtható fájlra bukkant, amelyet egy hamis orosz kormányzati webhelynek álcázó megtévesztő URL-ről szereztek, és valószínűleg spam e-maileken keresztül terjesztették. A letöltött végrehajtható fájlt SapphireStealer-ként azonosítják. Az állományt PDF ikonnal álcázták, és célja, hogy megtévessze a felhasználókat, hogy azok elhiggyék, hogy ez egy PDF-dokumentum. Futtatáskor a káros kód is letöltésre kerül, és megjeleníti benne a beágyazott csalogató PDF-dokumentumot, így a felhasználó azt hiheti, hogy valódi PDF-fájlt nyitott meg.

A csalogató PDF dokumentumok beszkennelt képeket tartalmazz, amelyek közül az egyik egy adóssal szembeni bírósági végzés végrehajtására vonatkozó iránymutatáshoz hasonlít, míg a másik egy magánszemélyt tanúként idéző ​​idézést utánoz egy orosz közigazgatási szabálysértési ügyben. A háttérben azonban a SapphireStealer érzékeny információkat gyűjt, beleértve a különböző böngészőkből származó bejelentkezési adatokat, webes adatokat, helyi állapotot, hálózati sütiket és egyebeket az áldozat eszközéről. Végül a rosszindulatú program az ellopott adatokat egy Command-and-Control (C&C) szerverre küldi tömörített ZIP-fájl formájában. A kampány mögött álló fenyegetés szereplője (TA) a rendelkezésre álló információk hiánya miatt ismeretlen.

(forrás)

(forrás)