Woolen-GoldFish - вредоносная кампания спонсируемая государством


Trend MicroСпециалистами компании Trend Micro была зафиксирована новая вредоносная кампания Woolen-GoldFish, направленная на израильских и европейских организации. Примечательно, но кампания проводилась "государственными" хакерами из группировки Rocket Kitten.

Как отмечают эксперты, нынешняя кампания более продуманная по сравнению с предыдущими атаками, в ходе которых злоумышленники распространяли вредоносное ПО GHOLE с помощью вложений Office в фишинговых электронных письмах.

Теперь фишинговые письма стали более убедительнее и при этом вызывают меньше подозрений. Кроме того, вместо вредоносного вложения злоумышленники использовали ссылку на файл в Microsoft OneDrive с именем

  • Iran’s Missiles Program.ppt.exe


Эксперты утверждают, что подобная тактика позволяет обойти систему безопасности электронной почты. Сам исполняемый файл загружает на систему жертвы вариант клавиатурного шпиона CWoolger.

По предположению Trend Micro, автор кейлоггера (называющий себя Wool3n.H4t) связан с Ираном. Исследователям удалось установить, что неактивный блог в бесплатном иранском сервисе принадлежит пользователю с этим псевдонимом. А кроме того, что Wool3n.H4t зарегистрирован на нескольких иранских подпольных хакерских форумах. В блоге опубликованы всего две записи, подписанные Masoud_pk. Эксперты предполагают, что Масуд (одно из 50 наиболее распространенных в Иране имен) может быть настоящим именем разработчика CWoolger.


Обновлено (20.03.2015 03:43)