Компания «Лаборатория Касперского» обнаружила новую кибершпионскую кампанию, получившую название Grabit и нацеленную на предприятия СМБ-сегмента. В ее рамках были украдены тысячи учетных записей от разнообразных сервисов у сотрудников небольших организаций, в основном расположенных в Таиланде, Индии и США. Следы киберопераций Grabit также обнаружены в ОАЭ, Германии, Израиле, Канаде, Франции, Австрии, Шри-Ланке, Чили и Бельгии.
Заражение осуществляется с помощью рассылки почтовых сообщений с вложенным файлом, выглядящим как документ Microsoft Office Word — на деле, кликнув по нему, пользователь скачивает шпионскую программу с взломанного злоумышленниками сервера, который они используют для распространения вредоносных программ. Киберпреступники контролируют действия своих жертв с помощью кейлоггера HawkEye — коммерческой утилиты для слежки авторства группы HawkEyeProducts, а также конфигурационного модуля, содержащего ряд инструментов удаленного управления.
«Grabit наглядно демонстрирует, что охота идет не только за крупной добычей — в цифровом мире любое предприятие может быть интересно той или иной киберпреступной группировке. Используемый в Grabit кейлоггер накопил тысячи реквизитов доступа из сотен зараженных систем — угрозой такого уровня нельзя пренебрегать», — отметил Идо Наор, антивирусный эксперт «Лаборатории Касперского».
Иллюстрацией масштаба кибероперации Grabit служит собранная «Лабораторией Касперского» статистика: всего на одном управляющем сервере злоумышленников было обнаружено 2997 паролей, 1053 электронных письма, 3023 имен пользователей от 4928 различных серверов (внутренних и внешних), включая учетные записи Outlook, Facebook, Skype, Google Mail, Pinterest, Yahoo, LinkedIn и Twitter, а также ряда банковских счетов.
Не прилагая особых усилий для сокрытия своей активности (некоторые образцы использовали одинаковый хостинг-сервер и даже одинаковые учетные записи для доступа к нему), злоумышленники все же используют сложные приемы, чтобы скрыть свой код от аналитиков. Это наводит на мысль о том, что за операцией стоят специалисты разного уровня — кто-то из них явно больше беспокоится об анонимности, чем остальные.