Trend Micro сообщила о спонсируемой Ираном вредоносной кампании Woolen-GoldFish
источник: securityaffairs.co
Жертвами «государственных» хакеров из группировки Rocket Kitten становятся организации в Израиле и Европе.
Эксперты из Trend Micro сообщили о новой вредоносной кампании Woolen-GoldFish против израильских и европейских организаций, проводимой «государственными» хакерами из группировки Rocket Kitten.

По сравнению с предыдущими атаками, в ходе которых злоумышленники распространяли вредоносное ПО GHOLE с помощью вложений Office в фишинговых электронных письмах, нынешняя кампания — гораздо более продумана

Во-первых, фишинговые письма теперь убедительнее и вызывают меньше подозрений. Во-вторых, вместо вредоносного вложения злоумышленники стали использовать ссылку на файл в Microsoft OneDrive с именем Iran’s Missiles Program.ppt.exe. По словам экспертов, подобная тактика позволяет обойти систему безопасности электронной почты. Исполняемый файл загружает на систему жертвы вариант клавиатурного шпиона CWoolger, «не настолько сложного, как его современники», сообщают эксперты.

В Trend Micro предполагают, что автор кейлоггера, называющий себя Wool3n.H4t, связан с Ираном. Исследователи обнаружили, что пользователю с этим псевдонимом принадлежит неактивный блог в бесплатном иранском сервисе. Кроме того, Wool3n.H4t оказался зарегистрированным на нескольких иранских подпольных хакерских форумах. В блоге опубликованы всего две записи, подписанные Masoud_pk. Эксперты предполагают, что Масуд (одно из 50 наиболее распространенных в Иране имен) может быть настоящим именем разработчика CWoolger.
В последнее время многие страны стали уделять особое внимание созданию и расширению своих киберармий. Настораживает только то, что обвиняют в этом друг друга в основном страны, враждующие между собой или имеющие какую-либо напряженность. Неисключено, что это делается для подливания масла в огонь.