Контакты
Подписка
МЕНЮ
Контакты
Подписка

Индийские хакеры атакуют пользователей iOS и Windows

Индийские хакеры атакуют пользователей iOS и Windows

Индийские хакеры атакуют пользователей iOS и Windows


25.07.2018



Индийская хакерская группировка проводит новую вредоносную кампанию, ориентированную на пользователей устройств под управлением операционных систем iOS и Windows. Об этом сообщили исследователи безопасности из команды Cisco Talos.

 Ранее в этом месяце исследователи зафиксировали вредоносную кампанию, в ходе которой эксплуатировалась уязвимость в службе управления мобильными устройствами (Mobile Device Management, MDM) для слежки за несколькими пользователями iPhone из Индии.

 Злоумышленники активны по меньшей мере с августа 2015 года и эксплуатируют уязвимость в MDM для удаленной установки вредоносных версий легитимных приложений (Telegram, WhatsApp и PrayTime) на целевые iPhone.

 Модифицированные приложения были разработаны для тайной слежки за пользователями iOS и могут похищать данные об их местоположении, SMS-сообщения, контакты, фотографии и личные сообщения в мессенджерах.

 В ходе расследования специалисты выявили несколько вредоносных двоичных файлов, предназначенных для устройств под управлением операционных систем Microsoft Windows, размещенных в принадлежащей злоумышленникам инфраструктуре.

 "Мы знаем, что вредоносы для MDM и Windows были запущены на одном C&C-сервере в мае 2018 года. Некоторые из серверов все еще запущены и работают. Их конфигурация Apache очень специфична и идеально соответствует настройке Apache для вредоносных приложений IPA", - заявили эксперты.

 Помимо этого, исследователи обнаружили некоторые особенности, позволяющие связать данную кампанию с хакерской группировкой Bahamut, ранее атаковавшей пользователей Android-устройств с помощью аналогичной техники.

 Помимо распространения модифицированных версийTelegram и WhatsApp, на C&C-сервере также обнаружена модифицированные версии браузера Safari и приложения для видеочата IMO.

 По словам исследователей, вредоносный браузер Safari был предварительно настроен для автоматического хищения логинов и паролей пользователей на различных сервисах, так как Yahoo!, Rediff, Amazon, Google, Reddit, Baidu, ProtonMail, Zoho, Tutanota и пр.

 В настоящее время точно неизвестно, кто именно стоит за кампанией и каковы мотивы злоумышленников, однако, судя по всему, атакующие работают из Индии и хорошо финансируются.

 

Securitylab