Ранее эксперты ESET уже сообщали о киберкампании по распространению шпионского ПО FinFisher (FinSpy). Данная операция проводилась в семи странах. Специалисты подозревали, что в кампании мог принять участие крупный интернет-провайдер. 21 сентября был опубликован отчет ESET, после чего киберкампания была остановлена.
Саму шпионскую программу FinFisher (FinSpy) создали сотрудники немецкой фирму Gamma Group International, а за ее продажу отвечает дочерняя компания Gamma Group, чей офис расположен в Великобритании. Распространение FinFisher осуществляется среди правоохранительных органов разных государств. Известно, что Gamma Group не единожды продавала свою продукцию диктаторским режимам. По этой причине эксперты в сфере информационной безопасности уже давно воспринимают программу FinFisher как вредоносную и очень опасную.
Недавно эксперты ESET сообщили, что 8 октября в одной из стран, где за распространением FinFisher мог стоять интернет-провайдер, началась еще одна такая операция, в рамках которой применяется идентичная схема переадресации браузеров. Однако теперь осуществляется распространение не FinFisher, а новой шпионской программы – StrongPity2. В ESET изучили вредоносное ПО и нашли общие черты с шпионской программой, которая ранее, вероятно, использовалась хакерской группой StrongPity.
Первым сходством является сценарий, по которому проходит атака. Происходит перенаправление пользователя, желающего скачать легитимную программу, на фальшивый сайт, с которого осуществляется загрузка версии необходимого ПО, инфицированная StrongPity2. Исследователи ESET выявили зараженные версии таких программ, как CCleaner, Driver Booster, Opera, Skype, VLC Media Player и WinRAR.
Среди общих черт StrongPity и StrongPity2 эксперты также отмечают идентичные фрагменты кода, структуру конфигурационных файлов, необычный алгоритм шифрования, старую версию libcurl 7.45 и способ эксфильтрации файлов.
Кроме того, StrongPity2 может похищать файлы форматов .doc, .docx, .pdf, .ppt, .pptx, .rtf, .txt, .xls и .xlsx. Еще StrongPity2 может осуществлять загрузку и выполнение другого вредоносного ПО с привилегиями взломанного аккаунтов.
С 8 октября сотрудники ESET выявили свыше ста попыток атак с применением StrongPity2.
