Эксперты FireEye выявили активность хорошо подготовленной преступной группы, участники которой первыми воспользовались уязвимостью нулевого дня в Windows. Хакеры организовали кибернападения на более чем 100 компаний из Канады и США, в том числе гостиницы, магазины и рестораны.
Как сообщают в FireEye, сначала злоумышленники рассылали фишинговые письма потенциальным жертвам. В письма был вложен документ Word, который запускал установку вредоносной программы PUNCHBABY, позволяющей киберпреступникам наладить взаимодействие с зараженным компьютером, а также другими рабочими станциями в целевой локальной сети.
Помимо этого, хакеры пользовались троянской программой PUNCHTRACK, которая инфицирует кассовые аппараты и похищает информацию платежных карт. Во избежание обнаружения вредоносное программное обеспечение удаляет все следы своего присутствия на жестком диске. Каждую ночь замаскированный загрузчик производит перезапуск PUNCHTRACK.
Как утверждают специалисты FireEye, в ходе некоторых мартовских кибератак для того, чтобы распространять вредоносное программное обеспечение, злоумышленники пользовались ранее неизвестной уязвимостью в Windows, позволяющей повышать права локального пользователя.
8 марта специалистам удалось обнаружить первые кибератаки с использованием данной уязвимости. Брешь была ликвидирована 12 апреля. На этой неделе Microsoft опубликовала обновление, дополнительно усиливающее защиту Windows от подобных кибератак.
Сотрудники FireEye почти год отслеживают факты кибератак, в ходе которых применяются PUNCHBABY и PUNCHTRACK. Эксперты считают, что за всеми подобными нападениями стоят участники единственной киберпреступной группировки.