Хакерская группа Transparent Tribe начала новую волну атак на государственные и научные учреждения Индии, применяя модифицированный троян удалённого доступа (RAT). По информации компании Cyfirma, атака начинается с фишинговых писем с вложением, замаскированным под PDF-документ. При открытии файла запускается скрипт HTA, который загружает вредоносный компонент в оперативную память, одновременно показывая ложный PDF-документ для сокрытия своих действий.
Скрипт взаимодействует с операционной системой, подстраиваясь под установленные антивирусные решения. В зависимости от обнаруженного ПО, используются различные методы закрепления: от создания скрытых папок до изменения реестра. Основной вредоносный компонент, библиотека «iinneldc.dll», выполняет функции шпионажа, включая управление системой и перехват данных.
Кроме этого, группа также использует фишинг с поддельными правительственными документами, что повышает доверие к вложениям. Все действия направлены на сбор разведывательной информации с индийских объектов.
tasani.ru
