Zostaw komentarz
Badacze z firmy Kaspersky odkryli długotrwałą kampanię cyberszpiegowską wymierzoną w perskojęzyczne osoby w Iraku. Stojące za nią ugrupowanie – określone jako Ferocious Kitten – działa od co najmniej 2015 r. i rozprzestrzenia niestandardowe szkodliwe oprogramowanie o nazwie MarkiRAT, które kradnie dane i potrafi wykonywać polecenia na maszynie ofiary. Szkodnik posiada również wersje, które potrafią przejmować kontrolę nad przeglądarką Chrome oraz aplikacją Telegram użytkownika zainfekowanego urządzenia.
Ugrupowanie Ferocious Kitten, aktywne co najmniej od 2015 r., atakuje swoje ofiary przy użyciu dokumentów-wabików zawierających szkodliwe makra. Dokumenty te są ukrywane pod postacią zdjęć lub filmów przedstawiających działania przeciwko reżimowi irańskiemu. Początkowe wiadomości związane z dokumentami wabikami próbują przekonać potencjalną ofiarę do otwarcia załączonych zdjęć lub filmów. Jeśli ofiara wykona takie działanie, do jej systemu przesyłane są szkodliwe pliki wykonywalne, podczas gdy na ekranie w dalszym ciągu wyświetlana jest przynęta.
Pobierane pliki dostarczają główną szkodliwą funkcję – niestandardowe szkodliwe oprogramowanie o nazwie MarkiRAT. Po aktywacji w zainfekowanym systemie szkodnik inicjuje keyloggera, który kopiuje całą zawartość systemowego schowka i przechwytuje wszystkie znaki wprowadzane na klawiaturze. Ponadto MarkiRAT umożliwia atakującym pobieranie i przesyłanie plików oraz wykonywanie rozmaitych poleceń na zainfekowanej maszynie.
Badacze z firmy Kaspersky wykryli również kilka innych wariantów szkodnika MarkiRAT. Jeden z nich potrafi przechwytywać moment uruchamiania aplikacji Telegram i aktywować wraz z nią szkodliwe oprogramowanie. W tym celu MarkiRAT szuka na zainfekowanym urządzeniu repozytorium danych wewnętrznych Telegrama. Jeśli je znajdzie, kopiuje się do niego, a następnie dokonuje modyfikacji, w wyniku których szkodliwe moduły są uruchamianie wraz z Telegramem.
Inny wariant w podobny sposób modyfikuje skrót przeglądarki Chrome na zainfekowanym urządzeniu. W efekcie przy każdym uruchomieniu Chrome’a aktywowana jest wraz z nim szkodliwa funkcja MarkiRAT. Jeszcze inny wariant stanowi zawierającą backdoora wersję Psiphona – otwartego narzędzia VPN, które jest często wykorzystywane do obchodzenia cenzury w internecie. Badacze z firmy Kaspersky znaleźli również dowody na to, że ugrupowanie Ferocious Kitten przygotowało szkodliwe implanty atakujące urządzenia z systemem Android, jednak nie udało im się zdobyć konkretnych próbek do analizy.
Ofiarami opisywanej kampanii wydają się być osoby perskojęzyczne oraz mieszkające w Iraku. Zawartość dokumentów wabików sugeruje, że atakujący mają na celowniku zwolenników ruchów protestacyjnych w kraju.