Согласно недавнему исследованию, проведенному Prevailion, троян MasterMana Botnet, которая использует массовую рассылку для отправки фишинговых писем с вложениями, содержащими вредоносный код, для крипто-инвесторов.
Как только жертва атаки открывает письмо в электронной почте, код создает на компьютере бэкдоры для опустошения крипто-кошельков. Директор Prevailion Дэнни
Адамитис поделился:
Основываясь на том, что мы наблюдали, ботнет MasterMana оказал глобальное влияние на организации по самым разным направлениям. Мы оцениваем, что ботнет взаимодействовал примерно с 2'000 машинами в неделю, или 72'000 машин в течение 2019 года, основываясь на слепке сети, который мы наблюдали.
Исследование показало ссылки в коде, которые указывали на то, что субъекты угроз преврашют в трояны версии всех основных форматов файлов Microsoft, включая Word, Excel, PowerPoint и Publisher.
Основываясь на представленной тактике, методах и процедурах, исследователи связывают распространение ПО с «Gorgon Group», хакерским коллективом, активно работающим уже в течение многих лет и известным киберпреступностью и разведывательными операциями.
«Расходы на то, чтобы субъекты угроз развернули и поддержали кампанию, практически не существовали», — говорится в отчете Prevailion. По словам исследователей, хакерам потребуется потратить 60 долларов на аренду виртуального частного сервера и 100 долларов для распространения троянского ПО, AZORult, с российских форумов киберпреступности.
Исследование показало, что стоимость более ранних атак могла быть дешевле, поскольку они использовали подобного трояна под названием «Revenge Rat», который был бесплатным до 15 сентября. Показатель успешности таких атак выше среднего зависит от версии трояна, который хакеры используют в кампании. В отчете говорится:
Основываясь на уровне сложности, продемонстрированном в этой кампании, мы считаем, что действующие угрозы поразили многих. Другими словами, хакеры остаются вне поля зрения, избегая популярных вредоносных программ, таких как Emotet, используя при этом немного более старого трояна, который все еще достаточно сложен, чтобы избежать обнаружения большинства программ безопасности.
Согласно исследованию, кампания все еще была активна вплоть до 24 сентября, и в Prevailion подозревают, что этот конкретный субъект угрозы, вероятно, продолжит свою деятельность, поскольку предыдущие публичные сообщения не сдерживали их.
«Мы рекомендуем инвесторам в криптовалюту сохранять бдительность в защите своего персонального компьютера. Рекомендуется использовать двухфакторную аутентификацию, такую как аппаратный токен, когда эта опция доступна», - резюмировал Адамитис.