Троян DarkCrystal предоставляет злоумышленникам широкие возможности для кражи данных и слежки за пользователями.
Правительственной командой реагирования на компьютерные чрезвычайные события Украины ( CERT-UA ) получена информация о распространении электронных писем с темой "Первичная правовая помощь" и вложением "Алгоритм действий членов семьи без вести пропавшего военнослужащего LegalAid.rar", которое защищено паролем. По словам специалистов, письма рассылались со скомпрометированных адресов электронной почты в домене gov.ua.
RAR-архив содержит документ "Алгоритм_LegalAid.xlsm" с юридической информацией. При открытии файла активируется макрос и запускается PowerShell-команда, которая обеспечивает развертку и запуск .NET-загрузчика "MSCommondll.exe". Тот, в свою очередь, приводит к установке и запуску трояна DarkCrystal RAT – это хакерский инструмент, который дает зломышленникам широкий доступ к системе, в том числе возможность отслеживать нажатие клавиш, проводить DDoS-атаки, выполнять команды, делать скриншоты, красть данные из буфера обмена, Telegram и веб-браузеров.
"Исходя из email-адресов получателей электронных писем, а также домена управления DarkCrystal RAT предполагаем, что атака направлена в отношении операторов и провайдеров телекоммуникаций Украины. В ходе предварительной атаки, 10.06.2022, объектами заинтересованности злоумышленников были медийные организации Украины", – подытожила СERT-UA.
Источник: securitylab