Эксперты «Лаборатории Касперского» выявили новую волну таргетированных атак с целью сбора конфиденциальной информации: злоумышленники начали отправлять вредоносный файл, имитирующий документ с названием «Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА», сообщает ЛК во вторник.
В действительности этот файл имеет расширение .scr и является инсталлятором. Для отвлечения внимания пользователя он извлекает из себя и открывает документ PDF на тему БПЛА. Параллельно с этим он в скрытом режиме скачивает несколько архивов с дополнительной вредоносной нагрузкой и консольную утилиту для работы с архивами формата RAR. Консольная утилита используется для распаковки скачанных архивов, а также для сбора интересующих злоумышленников файлов.
Злоумышленники собирают в архивы офисные документы с расширениями *.doc и *.docx с дисков C:, D: и E:; кроме того, их интересует все содержимое папки «Telegram Desktoptdata», в которой хранятся данные десктопной версии мессенджера Telegram. Сформированные архивы с информацией впоследствии отправляются на почту злоумышленнику с помощью еще одной консольной утилиты, извлечённой из скачанного архива, говорится в сообщении.